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区 块 链 ， 这 个 原本 “高 冷 * 的 技术 词汇 ， 目 2015 年 以 来 ， 引 起 了 当 
前 一 波 义 一 波 最 为 火热 的 争议 。 到 改 什 么 是 区 块 链 呢 ? 一 般 人 都 是 因 
为 知道 比特 币 而 知道 了 区 块 链 ， 也 都 知道 区 块 链 生 比特 币 的 一 项 关键 
压 层 技术 ， 通 俗 些 说 ， 它 束 像 古 一 个 数据 库 账 本 ， 安 全 记录 所 有 的 比 
特 币 交易 信息 。 按 照 专 家 们 更 为 专业 的 解释 来 说 ， 该 扩 术 的 实质 是 ， 
不 同 的 市 点 共同 参与 的 分 布 式 数据 库 ， 是 一 个 开放 式 的 公共 账 敌 。 从 
数据 包 形成 区 块 ， 中 间 有 一 个 加 密 的 哈 希 值 计 算 (密码 学 技术 ) ， 把 
不 同时 间 段 的 交易 信息 链接 起 来 ， 束 形成 了 区 块 链 。 


信用 是 金融 活动 的 根基 。 具 体 到 金融 行业 ， 人 们 正 古 希望 能 够 通 
过 区 块 链 技术 ， 低 成 本 地 解决 金融 活动 中 的 信任 问题 。 传 统 金融 体系 
安排 中 ， 所 有 人 金融 活动 的 监管 及 中 介 机 构 ， 包 括 产品 登记 、 证 券 发 行 
与 交易 、 信 息 披 露 、 资 金 托管 等 方面 ， 都 是 解决 信任 问题 或 者 说 金融 
中 最 为 核心 的 信息 不 对 称 问 题 。 由 于 信任 问题 是 一 直 难 以 解决 的 社会 
问题 ， 所 以 ， 我 们 这 个 社会 有 很 多 的 公信 和 力 机 构 。 从 反面 来 说 ， 本 次 
让 市 场 投资 者 失去 信心 的 长 达 10 年 的 全 球 金融 危机 ， 全 球 货币 与 资产 
价值 的 不 稳定 ， 就 古 数 字 货 币 和 区 块 链 技术 被 国内 外 众多 金融 机 构 和 
个 人 追捧 的 一 个 重要 背景 ， 区 块 链 技术 给 我 们 创造 了 一 个 用 * 共 信 
力 "来 解决 公信 力 问 题 的 途径 。 


互联 网 科技 与 传统 金融 机 构 有 竺 进一步 的 融合 。 比 如 银行 业 ， 驶 
需要 更 加 重视 业务 经 营 管 理 的 数字 化 、 宥 能 化 建设 ， 更 加 深入 地 推广 
应 用 移动 互联 、 大 数据 、 云 计算 、 人 工 吞 能 等 先进 拉 术 ， 以 科技 改造 
业务 、 以 科技 推动 创新 。 正 是 在 这 样 的 思想 和 认识 下 ， 我 认为 区 块 链 
技术 也 可 能 为 包括 银行 、 保 险 在 内 的 机 构 提供 当前 许多 问题 的 解决 方 
条 ,不 然 当 前 很 多 以 该 技术 为 核心 的 金融 科技 公司 并 没有 存在 的 必 
要 。 另 一 方面 ， 银 行家 们 也 明日 ， 区 块 链 不 会 是 银行 终结 的 信号 ， 区 
块 链 可 以 帮助 银行 和 金融 机 构 寻 找 痢 的 机 会 ， 更 好 地 服务 客户 。 


由 于 对 数字 货币 与 区 块 链 有 一 定 的 兴趣 ， 和 硕 望 增加 认识 和 了 解 ， 
我 与 本 书 译 者 林 华 教授 畅谈 了 上 面 的 认识 与 体会 。 这 本 著作 是 根据 普 
林 斯 顿 大 学 公开 课 改编 的 一 部 教材 ， 主 要 讨论 了 比特 币 的 一 系列 重要 
问题 。 比 如 ， 书 中 着重 介绍 了 比特 币 的 运作 方式 、 比 特 币 与 众 不 同 的 
技术 知识 、 比 特 币 安全 性 如 何 保障 、 比 特 币 的 匿名 性 特征 、 区 块 链 如 
何 帮助 比特 币 实现 没有 吴 份 的 共识 、 人 们 在 比特 币 这 一 平台 上 可 以 创 
建 哪些 应 用 程序 、 比 特 币 的 存储 和 使 用 、 比 特 币 控 矿 、 比 特 币 监管 ， 
以 及 作者 们 对 比特 币 的 未 来 发 展 展望 。 我 认为 ， 在 阅读 完 如 此 专业 的 
教材 之 后 ， 对 当前 热 议 的 比特 币 和 区 块 链 的 各 种 争议 观点 ， 我 们 就 可 
以 具备 去 伪 存 真 的 能 力 ， 或 许 还 能 掌握 基础 概念 ， 并 能 够 开发 出 安全 
的 、 能 与 比特 币 网 络 互动 的 软件 ， 甚 至 能 够 把 比特 币 相 关 理 论 应 用 于 
目 己 的 项 目 中 。 


林 教 授 曾 经 告诉 我 ， 资 产 证 券 化 与 区 块 链 有 一 个 很 好 的 结合 点 ， 
这 是 我 非常 感 兴 趣 的 一 件 事 。 众 所 周知 ， 区 块 链 补 人们 认识 主要 起 源 
于 比特 币 。 比 特 币 的 本 质 是 数字 货币 ， 区 块 链 的 本 质 在 于 它 是 一 个 分 
布 式 账本 ， 而 货币 系统 本 身 束 是 一 个 账本 ， 这 有 是 它们 能 够 天 然 结 合 在 
一 起 的 很 好 解释 。 只 不 过 ， 原 来 的 货币 系统 账本 是 由 央行 控制 和 维护 
的 ， 现 在 区 块 链 则 是 分 布 式 的 (也 有 说 成 所 谓 的 去 中 心 化 ，， 是 大 家 
一 起 共同 维护 的 一 个 账本 。 


资产 证 券 化 和 区 块 链 如 何 结合 呢 ? 一 直 专 长 于 资产 证 券 化 的 林 教 
授 告诉 我 说 ， 数 字 货 币 的 一 个 延伸 在 于 代 币 (Token Coin) ， 什 么 是 
代 币 呢 ? 束 是 把 资产 变 成 货币 ， 代 币 作为 资产 使 用 权 的 证 明 ， 或 者 货 
产 内 在 价值 的 所 有 权证 明 。 资 产 变 成 货币 ， 殊 是 一 种 证 券 化 。 如 琳 我 
们 能 够 建立 一 个 账本 ， 将 资产 证 鲫 化 池子 中 的 资产 ， 全 部 挪 到 这 个 账 
本 上 ， 基 础 资产 的 各 种 特征 都 做 好 标记 ， 不 断 循环 ， 按 交易 时 间 更 新 
区 块 ， 不 可 自 改 ， 定 期 跟 躁 ， 束 能 够 实现 资产 证 券 化 与 区 块 链 的 一 个 
有 效 结合 。 资 产 挪 到 账本 ， 还 需要 从 三 个 层面 来 说 ， 第 一 个 层面 是 次 
产 ， 第 三 个 层面 是 账本 ， 中 间 需 要 一 个 开关 或 者 说 场景 ， 形 成 一 个 映 
射 和 天 系 ， 即 将 资产 映 射 到 对 应 账本 上 ， 实 现 所 谓 的 货币 化 。 中 间 技 需 
要 一 个 场景 ， 最 可 能 的 场景 号 古 交 易 所 ， 可 以 实现 资产 和 货币 的 交 
= 中 


当然 ,我 和 林 华 教授 都 一 致 认为 ， 这 背后 还 有 一 个 担心 ， 从 金融 
角度 来 看 ， 区 块 链 在 技术 上 仍然 不 够 成 熟 ， 尤 其 是 在 交易 环 订 。 国 内 
外 许多 专家 都 明确 估计 过 ， 区 块 链 技 术 可 能 还 需要 3~5 年 时 间 才 能 真正 
成 熟 。 在 这 样 的 背景 下 ， 如 果 区 块 链 技术 被 滥用 ， 束 会 酝 本 很 大 的 风 
险 ， 殉 好 比 前 两 年 的 比特 币 投机 潮 一 样 。 我 认为 ， 如 果 区 块 链 在 交易 
活动 中 的 跟踪 、 项 目 唤 金 使 用 的 全 程 监控 以 及 智能 资产 合约 所 需要 的 
风险 控制 措施 等 效用 发 挥 不 出 来 ， 只 是 利用 分 布 式 的 分 散 管 理 效 采 ， 
希望 在 没有 一 个 第 三 方 公 信和 力 机 构 的 情形 下 保证 信用 ， 其 结 采 会 很 容 
易 搞 得 像 P2P 中 的 债权 分 拆 分 包 一 样 ， 现 实 中 的 风险 并 没有 缩小 ， 只 
征 补 转移 分 散 到 广大 投资 人 中 去 ， 最 后 出 现 我 们 看 到 的 P2P 机 构 跑 路 
现象 ， 更 要 防范 的 是 ， 现 有 的 P2P 都 将 自己 做 的 债权 分 拆 ， 包 装 成 所 
谓 的 区 块 链 金融 。 正 如 北 各 金 融 工作 局 截 学 文 局 长 近期 所 说 的 , “如 采 
现在 不 规范 区 块 链 技术 ， 它 又 会 成 为 非法 金融 活动 的 来 源 ”。 因 此 ,我 
个 人 也 强烈 呼吁 ， 我 们 要 发 展 的 其 实 是 符合 金融 监管 和 行业 规则 的 技 
术 创 新 ， 如 果 在 区 块 链 技术 基础 上 从 事 不 规范 的 金融 行为 的 话 ， 也 会 
造成 新 的 非法 集资 或 者 金融 不 稳定 的 来 源 。 


不 过 ， 我 依然 看 好 区 块 链 技 术 在 金融 领域 的 运用 ， 它 不 仅仅 是 货 
币 创 造 ， 而 且 是 价值 传输 与 公共 账户 。 现 在 国内 外 很 多 金融 机 构 在 价 
值 传 输 ， 比 如 在 文 付 结算 、 凌 产 登 记 以 及 资产 转让 等 方面 也 都 有 积极 
的 探索 。 同 时 ， 由 于 区 块 链 是 一 个 公开 、 透 明 、 可 追溯 、 不 可 算 改 的 
分 布 式 总 账 系统 ， 区 块 链 技术 可 以 有 效 降 低 文 付 、 清 算 、 结 算 步 又 的 
出 错 率 ， 同 时 监控 每 一 步 资 金 的 流入 流出 情况 ， 有 是 推动 诚信 社会 建立 
的 有 效 手 段 ， 区 块 和 链 有 利于 金融 监管 的 一 面 。 随 着 监 管 与 市 场 主体 对 
区 块 链 技术 的 认识 不 断 加 深 ， 以 及 该 搁 术 不 断 走 同 成 熟 来 保证 资产 的 
真实 性 ， 和 林 教 授 一 样 ， 我 相信 资产 证 券 化 极 有 可 能 成 为 区 块 链 最 好 
攀 一 个 访 用 


基于 以 上 的 理解 和 认识 ， 我 欣然 为 林 华 教授 这 部 翻译 作品 作 序 。 


谢 平 
2016 年 7 月 
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区 块 途 到 奈 古 什么 ? 


六 风 


有 关于 区 块 链 是 什么 的 话题 ， 在 时 下 的 中 国 ， 可 能 已 经 被 包括 我 
目 己 在 内 的 人 说 成 了 陈 词 滥 调 了 。 但 是 每 每 我 们 都 会 看 到 这 样 一 种 情 
形 : 一 些 我 们 认为 已 经 是 第 识 的 概念 ， 却 往往 别 有 润 天 ! 借 着 《区 块 
链 : 技术 驱动 金融 》 中 文 版 出 版 之 际 ， 我 愿意 把 我 最 近 对 区 块 链 概念 
的 反刍 心得 写 下 来 ， 作 为 这 本 书 的 推荐 序 。 


区 块 链 首先 是 一 种 社会 思潮 。 它 预示 着 人 类 社会 转型 、 换 代 的 新 
时 代 的 到 来 。 区 块 链 的 社会 学 基础 是 凯 文 凯利 《失控 》 一 书 里 观察 及 
论述 到 的 基于 生物 逻辑 的 目 然 、 社 会、 技术 的 进化 规律 :分布 式 、 去 
中 心 ; 从 边缘 到 中 心 再 到 边缘 ， 从 失控 到 控制 再 到 失控 。 微 信之 父 张 
小 龙 奉 《失控 》 为 目 己 行动 指南 的 行为 ， 最 好 地 说 明了 互联 网 时 代 的 
组 织 及 经 济 发 展 规律 已 经 变 了 。 区 块 链 的 技术 基础 症 分 布 式 网 络 染 
构 ， 正 是 因为 分 布 式 网 络 技术 的 成 熟 ， 去 中 心 、 弱 中 心 、 分 中 心 及 共 
享 、 共 识 、 共 担 的 组 织 染 构 、 商 业 架 构 和 社会 染 构 才 有 可 能 有 效 建 立 
起 来 。 本 书 就 是 从 工程 技术 的 角度 来 介绍 基于 分 布 式 网 络 染 构 的 区 块 
链 技术 的 ， 分 布 式 网 络 架 构 对 人 类 社会 的 影响 和 冲击 ， 也 许 我 们 都 还 
无 法 估计 ， 不 可 测量 


当然 ， 任 何事 物 都 是 精华 与 糟粕 相生 相伴 、 优 点 与 缺点 共存 共 永 
的 ， 区 块 链 技 术 也 一 样 。 在 社会 实践 中 我 们 已 经 看 到 ， 传 统 金融 机 构 
在 接受 区 块 链 技术 的 精华 的 同时 ， 已 经 扬弃 了 区 块 链 技术 当中 的 纯粹 


去 中 心 化 的 无 政府 主义 色彩 和 对 人 人 都 可 以 发 行货 币 的 去 管制 、 去 监 
管 的 追求 。 


区 块 链 其 次 是 一 串 技 术 组 合 。 第 一 ， 它 征 分 布 式 账 本 : 全 部 机 构 
一 本 总 账 、 各 种 事务 一 本 总 账 ， 第 二 ， 它 是 新 型 数据 库 : 没有 中 心机 
房 ， 没 有 运 维 人 员 ， 第 三 方 按 共识 算法 未 入 数据 ， 非 对 称 加 密 算 法 保 
证 数据 安全 ， 数 据 客 观 可 信 ， 不 可 自 改 ;第 三 ， 它 是 入 能 合约 : 是 一 
段 能 够 目 动 执 行 约定 条 件 的 计算 机 程序 ， 依 靠 智能 合约 技术 ， 理 想 中 
的 世界 瓯 好 像 一 台 精 密 运 行 的 计算 机 ， 一 切 都 可 以 事先 约定 ， 编 成 代 
码 ， 依 程序 行事 ;第 四 ， 它 是 TCP/IP 模 型 《互联 网 模型 ) 里 的 点 对 点 
价值 传输 协议 ， 它 的 发 明 标 志 着 过 去 20 几 年 ， 互 联网 技术 在 帮助 人 们 
更 好 地 进行 信息 传输 之 后 ， 开 始 帮 助人 们 可 以 不 借助 任何 第 三 方 的 信 
任 背 书 ， 点 对 点 、 端 到 端 、P2P 地 来 传递 、 交 易 、 文 付 、 汇 竞价 值 
物 。 互 联网 从 此 进入 新 时 代 : 价值 互联 网 时 代 到 来 了 ! 


区 块 链 还 是 FinTech (金融 科技 ) 的 核心 。 继 互联 网 金融 之 后 ， 金 
融 科 技 最 近 大 热 大 火 。 我 们 注意 到 ， 前 几 年 互联 网 金融 在 中 国 活 路 的 
时 候 ， 欧 美国 家 几乎 不 为 所 动 。 而 最 近 一 年 ， 欧 类 国家 反 过 来 把 金融 
科技 的 火把 传输 到 了 中 国 ， 在 互联 网 金融 一 地 鸡毛 的 时 候 ， 点 燃 了 中 
国 金 融 创新 的 新 热点 。 一 开始 我 也 认为 ， 互 联网 金融 和 金融 科技 应 该 
忠 是 一 回 事 。 但 细 细 想 想 ， 它 们 之 间 虽 然 没 有 本 质 不 同 ， 却 还 是 重心 
各 有 侧 偏 。 互 联网 金融 侧重 于 场景 章 命 ， 而 金融 科技 侧重 于 技术 章 
命 ; 进一步 ， 互 联网 企业 拥有 场景 优势 ， 所 以 在 互联 网 金融 阶段 挟 场 
景 的 优势 ， 略 胜 传统 金融 机 构 一 筹 。 其 实 融 连 互联 网 公司 本 身 ， 也 有 
场景 能 力 的 高 低 之 分 ， 电 商 和 社交 网 络 公司 创建 场景 的 能 力 最 强 ， 所 
以 互联 网 金融 的 能 力也 就 最 大 。 其 他 类 型 的 互联 网 公司 ， 基 本 难以 户 
其 项 育 。 


而 就 金融 科技 而 言 ， 侧 重 的 是 云 计算 、 大 数据 、 机 器 学 习 、 人 工 
智能 等 创新 技术 。 技 术 征 中 立 的 ， 这 意味 着 : 一 是 技术 公司 固然 有 技 


术 和 完 发 优势 ， 但 金融 机 构 在 应 用 先进 技术 方面 也 没有 不 可 逾越 的 障 
碍 ; 二 是 技术 逻辑 必须 与 业务 逻辑 结合 才能 创造 价值 ， 而 金融 机 构 在 
业务 逻辑 方面 相 比 技术 公司 有 优势 ， 业 务 逻 辑 的 经 验 积 累 也 是 需要 时 
间 和 过 程 的 。 无 怪 乎 最 近 我 们 看 到 太 多 的 互联 网 公司 到 金融 机 构 控 人 
的 消 轧 ， 因 为 在 金融 科技 阶段 ， 互 联网 公司 急需 懂得 业务 逻辑 的 金融 
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面 对 互 联网 公司 的 业务 竞争 ， 过 去 几 年 金融 机 构 的 应 对 举措 大 概 
分 三 类 : 一 是 无 力 回 天 ， 沦 为 通道 ， 二 是 热情 拥抱 ， 全 面 对 接 ; 三 是 
目 建 场景 ， 创 新 模式 。 我 们 其 实在 多 年 以 前 就 已 经 看 到 过 飞信 与 微 信 
演绎 的 故事 了 ， 它 已 经 充分 说 明了 切 勿 以 己 之 短 捕 人 之 长 的 道理 。 


金融 科技 有 可 能 十 金 融 机 构 在 与 互联 网 公司 业务 竞争 中 的 一 次 最 
好 的 机 会 ， 因 为 技术 面前 人 人 平等 。 


所 以 我 们 看 到 ， 这 一 次 华尔街 表现 出 来 的 热情 超越 硅 合 。 华 尔 街 
的 金融 机 构 都 纷纷 表 日 目 己 是 一 家 科技 公司 或 马上 将 成 为 一 家 科技 公 
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区 块 链 可 以 算得 上 是 金融 科技 里 的 核心 技术 。 因 为 区 块 链 扩 术 征 
金融 业 的 底层 技术 革命 。 大 家 知道 ， 现 代 银 行业 起 源 于 意大利 。 之 所 
以 起 产 于 意大利 ， 一 征 意 大 利 征 欧洲 最 早 开 始 海洋 贸易 的 地 区 ， 复 好 
的 、 高 风险 的 海洋 贸易 必然 需要 相配 套 的 金融 服务 ， 二 是 意大利 人 发 
明了 复式 记 账 法 ， 使 得 复杂 的 经 济 活动 在 会 计 上 可 计量 。 复 式 记 账 法 
儿 百 年 来 一 直 没 有 重大 的 改进 ， 区 块 链 技术 将 是 目 复 式 记 账 法 被 发 明 
以 来 ， 人 类 社会 记 账 方法 的 第 一 次 章 命 性 改进 。 作 为 分 布 式 账本 技 
术 ， 区 块 链 必 将 给 任何 需要 记 账 的 行业 市 来 降低 成 本 、 提 高 效率 、 创 
新 业务 、 创 新 服务 的 机 会 。 金 融 业 因为 其 早已 经 数字 化 的 特点 ， 首 当 
其 冲 ， 也 必 先 蒙 其 利 ! 


最 后 ， 和 希望 本 书 的 出 版 ， 能 够 从 工程 技术 层面 ， 推 动 区 块 链 技术 
在 中 国 的 发 展 ， 推 动 相关 应 用 的 落地 。 祝 《区 块 链 ， 技术 驱 动 金融 》 
二 级 风行 1 


肖 风 
2016 年 8 月 


译 首 前 襄 


这 是 一 本 关于 比特 币 和 区 块 链 技术 的 专业 著作 ， 起 源 于 业内 所 邹 
知 的 比特 币 和 加 密 货 币 技术 的 普林斯顿 网 络 公 开课 。 以 普林斯顿 大 学 
计算 机 科学 助理 教授 阿尔 文 德 : 纳 拉 亚 南 (Arvind Narayanan) 为 首 的 专 
家 ， 与 我 们 分 享 了 他 们 关于 数字 货币 与 区 块 链 的 权威 研究 成 果 和 重要 
理论 观点 。 


目前 ， 国 内 对 于 比特 币 和 区 块 链 技术 的 热 捧 和 争议， 或 者 将 其 过 
度 神 秘 化 ， 或 者 将 其 巡 斥 得 一 无 古 处 ， 还 有 很 多 别有用心 的 人 不 适当 
地 工 吹 ， 正 古 反 映 出 人 们 并 没有 真正 搞 清 楚 到 底 什 么 是 比特 币 ， 它 在 
技术 层面 到 的 是 如 何 运 作 的 。“ 他 山 之 石 ， 可 以 攻 玉 。” 本 书 讨 论 的 是 
比特 币 的 一 系列 重要 问题 。 比特 币 是 如 何 运 作 的 ? 它 因 何 而 与 众 不 
同 ? 你 的 比特 币 安全 吗 ? 比特 币 用 户 如 何 匿名 ? 我 们 可 以 在 比特 币 这 
一 平台 上 创建 什么 应 用 程序 ? 加 密 数 字 货 币 可 以 被 监管 吗 ? 创建 一 种 
新 的 数字 货币 将 会 帝 来 什么 样 的 变化 ? 未 来 将 会 如 何 发 展 ? 本 书 中 ， 
作者 承认 比特 币 及 区 块 链 技术 为 各 种 领域 市 来 了 其 覆 性 的 创新 ， 但 他 
们 并 不 认可 那 种 以 去 中 心 化 为 目的 的 观点 。 


我 和 王 勇 教授 积极 联系 与 申请 ， 与 中 信 出 版 社 合作 ， 通 过 激烈 的 
苋 争 拿 下 了 本 书 的 翻译 版 权 ， 书 中 内 容 的 专业 性 非常 强 ， 从 翻译 初稿 
到 终 稿 ， 经 过 接近 一 年 的 茸 勤 和 努力 ， 终 于 完成 了 本 书 的 翻译 。 


在 此 ， 我 首先 要 感谢 中 国 投 资 公司 前 副 尽 经 理 谢 平 先生 和 中 国 万 
向 控股 有 限 公司 副 董事 长 肖 风 先生 不 套 辛 闸 ， 亲 目 提 笔 为 本 书 作 推 荐 
序 。 感 谢 金融 时 报社 社 长 邢 早 中 先生 、 北 京 市 金融 工作 局 局 长 截 学 文 
先生 、 浦 发 银行 行 长 刘 信 义 先生 、 厦 | ] 国 家 会 计 学 院 院 长 黄 蕊 先生 


以 及 深圳 前 海 金 融资 产 交易 所 总 经 理 唐 渡 先生 为 本 书 撰写 推荐 词 ， 感 
谢 您 们 的 鼓励 和 支持 。 


我 要 感谢 参与 本 书 翻 译 的 每 一 位 译 者 。 感 谢 帅 初 提供 了 1~9 章 的 翻 
译 初 稿 ， 芋 凯 龙 提供 了 其 余 两 草 和 原版 前 言 的 翻译 初稿 。 由 于 本 书 涉 
及 多 个 专业 领域 ,翻译 初稿 在 专业 性 和 体例 统一 等 方面 有 答 完 善 ， 我 
组 织 了 所 有 译 者 进行 重 译 和 修订 。 其 中 ， 高 晓 婧 负责 前 言 与 第 7 章 ， 王 
勇 负责 第 1 章 和 第 2 章 ， 洪 浩 负责 第 3 章 和 第 4 章 ， 殖 凯 龙 负责 第 5 章 ， 许 
余 涪 人 负责 第 6 章 和 第 10 革 ， 李 浪 光 人 负责 第 8 草 、 第 9 草 和 第 11 划 。 我 、 王 
勇 和 许 余 党 确定 了 全 书 的 术语 表 ， 并 一 同 再 三 审 校 全 书 。 许 余党 在 整 
体 校 稿 的 基础 上 ， 还 多 次 与 出 版 社 老师 们 对 接 书 稿 的 最 后 内 容 的 完 
普 。 每 一 位 译 者 部 在 工作 之 余 伦 了 很 多 时 间 精 推 细 融 、 反 复 鞭 酌 原 文 
和 译文 ， 几 经 修订 才 使 本 书 得 以 呈现 在 读者 面前 ， 感 谢 每 一 位 译 者 的 
平 亲 付出， 也 因此 我 们 采用 联合 署名 的 译 着 方式 。 


另外， 我 要 感谢 杨 昌 丽 、 黄 红 华 、 韩 世 光 、 董 方 朋 、 王 克 详 等 对 
本 书 在 翻译 过 程 中 所 提供 的 帮助 。 


最 后 ， 我 还 有 要 感谢 中 信 出 版 社 编辑 的 精心 编校 ， 没 有 大 家 精 葵 求 
精 的 团队 努力 与 合作 ， 这 本 书 的 中 文 版 本 不 可 能 如 此 顺利 与 读者 见 
面 。 


区 块 链 技术 在 中 国 的 健康 发 展 ， 还 古 要 基于 我 国 监管 的 框架 和 你 
辑 下 ， 与 适当 的 行业 进行 有 效 结合 。 我 们 衷心 地 祝愿 本 书 的 引进 ， 能 
够 有 助 于 大 家 正确 理解 比特 币 金融 技术 的 创新 与 发 展 。 


林 华 
2016 年 7 月 于 北京 


原版 引言 


比特 币 和 加 密 数 字 货 币 是 当前 的 热门 话题 。 乐 观 主义 者 认为 比特 
币 将 从 根本 上 改变 人 们 的 文 付 方式 、 全 球 经 济 甚至 政治 格局 ; 悲观 者 
则 认为 它 生 来 吏 不 完美 ， 其 失败 是 注定 且 彻 底 的 。 


守 其 根本 ， 这 些 分 卜 之 所 以 存在 ， 是 因为 人 们 没 弄 清楚 到 故 什 么 
古 比 特 币 以 及 它 古 如 何 运 作 的 。 本 书 的 目的 束 是 帮助 人 们 跳 过 咕 尖 切 
入 重点 ， 看 清 比 特 币 的 特殊 性 。 要 真正 了 解 比 特 币 的 特殊 性 ， 我 们 需 
要 了 解 它 在 技术 层面 的 运作 模式 。 比 特 币 是 一 项 狐 兴 技术 。 把 它 与 现 
有 技术 进行 简单 类 比 ， 很 难 帮助 我 们 做 到 这 一 点 。 


阅读 本 书 需 要 具备 计算 机 科学 的 基础 知识 ， 了 解 计算 机 的 工作 原 
理 、 数 据 结构 和 算法 ， 拥 有 一 定 的 编程 经 答 。 如 有 果 你 有 古 一 名 计算 机 专 
业 本 科 生 或 研究 生 、 软 件 工程 师 、 创 业者 或 技术 爱好 者 ， 那 么 这 本 书 
很 适合 你 。 


本 书 将 讨论 比特 币 的 一 系列 重要 问题 : 比特 币 是 如 何 运作 的 ? 它 
因 何 而 与 众 不 同 ? 你 的 比特 币 安全 吗 ? 比特 币 用 户 如 何 匿名 ? 我 们 可 
以 在 比特 币 这 一 平台 上 创建 什么 应 用 程序 ? 加 密 数 字 货 币 可 以 被 监管 
吗 ? 创建 一 种 新 的 数字 货币 将 会 市 来 什么 样 的 变化 ? 未 来 将 会 如 何 发 
展 ? 


完成 本 书 的 学 习 之 后 ， 对 比特 币 和 加 密 数 字 货 币 的 观点 ， 你 应 该 
具备 了 去 伪 存 真 的 能 力 ; 同时 也 掌握 了 基础 概念 ， 能 够 开发 出 安全 
的 、 能 与 比特 币 网 络 互动 的 软件 ， 还 可 以 把 比特 币 相 关 理 论 应 用 于 目 
已 的 项 目 中 % 


本 书 网 上 补充 阅读 材料 中 ， 还 包含 系列 配套 练习 题 ， 可 以 帮助 
你 更 深入 理解 每 一 章 让 。 此 外 ， 你 还 需要 运用 到 一 些 要 求 运用 比特 
币 的 简化 模型 ， 来 完成 一 系列 编程 任务 。 本 书 的 大 部 分 内 容 都 有 视 
频 ， 如 有 和 需要， 可 以 在 免费 公开 在 线 课程 [起 上 获得 (补充 材料 获取 
网 址 为 :http://press. princeton. edu/titles/10908.html)。 同时， 建议 读 
者 补充 比特 币 相 关 知 识 ， 你 可 以 阅读 比特 币 维基 、 论 坛 、 研 究 报 
告 ， 并 与 比特 币 从 业者 及 兴趣 相同 的 人 进行 讨论 。 


[ Coursera， 是 免费 大 型 公开 在 线 课 程 项 目 ， 由 美国 斯 坦 福 大 学 两 名 计算 机 科学 教授 创 
办 。 由 在 同 世界 顶尖 大 学 合作 ， 在 线 提供 免费 的 网 络 公 开课 程 。 一 一 译 者 注 


原版 前 言 
通 往 比特 币 的 漫长 址 路 


杰 里 米 :克拉 克 (Jeremy Clarek) 


在 通 往 比特 币 的 道路 上 ， 布 满 了 无 数 失败 的 竹 试 。 我 收集 了 一 份 

由 约 100 个 加 密 支 付 系 统 组 成 的 名 单 。 它 们 的 技术 基于 电子 现金 \e- 

cash) 和 信用 卡 ， 在 某 些 方面 获得 显著 成 就 ， 见 表 0.1。 其 中 一 些 是 被 

广泛 引用 的 学 术 人 研究 成 末 ， 还 有 一 些 是 已 开发 和 测试 过 的 实 实在 在 的 

系统 。 在 这 份 名 单 上 ， 被 大 家 所 知 的 大 概 只 有 一 个 一 一 贝 宝 

(PayPal) 。 而 贝 宝 之 所 以 幸存 ， 得 益 于 它 及 时 纠正 了 最 初 想 在 移动 设 
备 上 进行 加 密 文 付 这 一 想法 。 


这 段 历 史 会 让 我 们 吸取 很 多 教训 。 比 特 币 的 想法 从 何 而 来 ” 为 什 
么 一 些 技术 成 功 了 而 为 一 些 则 一 败 涂 地 ? 如 何 成 功 地 商业 化 那些 复杂 
的 技术 创新 ?即便 不 去 思考 这 些 ， 它 至 少 让 我 们 明日 ， 一 个 真实 可 行 
的 基于 互联 网 的 文 付 体系 是 多 么 来 之 不 易 。 


传统 金融 体系 


设想 在 政府 和 货币 出 现 之 前 ， 人 们 以 物 物 交 换 的 方式 进行 着 区 
易 。 比 如 ， 爱 丽 丝 (Alice) 需要 工具 ， 鲍 勃 (Bob) 需要 药品 。 如 果 他 
们 正好 都 有 对 方 所 需 物 品 ， 就 可 以 进行 交换 ， 满 足 各 自 所 需 。 


但 是 ， 如 果 爱 丽 丝 有 食物 ， 愿 意 拿 食物 换 工具 ， 鲍 有 有 工具 但 不 
需要 食物 ， 他 想 要 药品 。 在 这 种 情况 下 ， 爱 丽 丝 和 鲍 动 束 没 法 直接 与 


对 方 交 易 。 但 是 ， 如 果 有 男 一 个 人 卡 罗 尔 (Carol) ， 他 有 药品 ， 而 且 
愿意 拿 药品 换取 食物 。 那 么 ， 这 三 个 人 就 可 以 进行 交易 ， 各 自 获 得 所 


表 0.1 一 些 优 秀 的 电子 支付 系统 和 构想 


ACC CyberCents IKP MPTP Proton 

Agora CyberCoin IMB-MP Net900 Redi-Charge 
AIMP CyberGold InterCoin NetBill S/PAY 
Allopass DigiGold Ipin NetCard Sandia Lab E-Cash 
b-money Digital Silk Road Javien NetCash Secure Courier 
BankNet e-Comm Karma NetCheque Semopo 

Bitbit E-Gold LotteryTickets NetFare SET 

Bitgold Ecash Lucre No3rd SET2Go 
Bitpass eCharge MagicMoney One Click Charge & SubScrip 
C-SET eCoin Mandate PayMe Trivnet 

CAFE Edd MicroMint PayNet TUB 
Checkfree eVend Micromoney PayPal Twitpay 
ClickandBuy First Virtual MilliCent PaySafeCard VeriFone 
ClickShare FSTC Electronic Check Mini-Pay PayTrust VisaCash 
CommerceNet Geldkarte Minitix Pay Word Wallie 
CommercePOINT Globe Left MobileMoney Peppercoin Way2Pay 
CommerceSTAGE Hashcash Mojo PhoneTicks WorldPay 
Cybank HINDE Mollie Playspan X-Pay 
CyberCash iBill Mondex Polling 


当然 ， 难 点 在 于 协调 ， 即 组 织 一 群 供需 匹配 的 人 在 同一 时 间 、 同 
一 地 点 进行 交易 。 为 解决 这 一 难点 ， 出 现 了 两 个 体系 : 信用 和 现金 。 
二 着 哪个 更 导出 现 ， 历 史学 家 、 人 类 学 家 和 经 济 学 家 们 融 此 争论 不 
休 ， 但 这 对 本 书 的 讨论 无 天 紧要 。 


在 上 面 的 例子 中 ， 在 信用 体系 里 ， 爱 丽 丝 和 鲍 劲 可 以 与 对 方 交 
易 。 鲍 劲 给 爱丽 丝 她 所 需 的 工具 ， 得 到 一 个 人 情 。 换 言 之 ， 爱 丽 丝 欠 
下 一 笔 债务 ， 未 来 终 将 偿还 给 鲍 劲 。 爱 丽 丝 的 物质 需求 即刻 得 到 了 满 


足 ， 但 她 希望 尽快 还 清 债务 ， 因 此 ， 她 又 有 了 新 的 需求 。 然 后 ， 爱 丽 
丝 又 遇 到 了 卡 罗 尔 ， 她 可 以 用 自己 的 食物 交换 卡 罗 和 尔 的 药品 ， 然 后 把 
药品 给 鲍 动 。 这 样 ， 她 残 偿还 了 债务 。 


对 比 而 言 ， 在 现金 体系 里 ， 爱 丽 丝 可 以 购买 鲍 盈 的 工具 ， 然 后 把 
食物 卖 给 卡 罗 尔 ， 卡 罗 尔 再 把 药品 卖 给 鲍 艺 ， 完 成 整个 闭环 交易 。 只 
要 每 场 交 易 的 买方 有 充足 的 现金 ， 这 些 交 易 就 可 以 按 任意 顺序 发 生 。 
当然 ， 最 终 的 结 采 是 ， 看 上 去 现金 似乎 从 未 易 过 于 。 


很 难说 这 两 个 体系 哪个 更 优越 。 现 金 体系 首先 需要 现金 分 配 来 触 
发 ， 否 则 交易 无 法 发 生 。 信 用 体系 不 需要 这 样 ， 但 债权 人 需要 承担 债 


务 人 不 偿还 债务 的 风险 。 


现金 还 可 以 让 我 们 知道 物品 的 准确 价值 。 物 物 交 换 时 ， 我 们 很 难 
说 工具 和 药品 到 撒 哪 个 更 值钱 。 现 金 区 易 把 物品 的 价值 标 上 数字 ， 这 
束 是 为 什么 我 们 现在 将 这 两 种 体系 混合 使 用 ， 即 便 使 用 信用 ， 我 们 依 
然 用 现金 来 衡量 所 需 偿还 的 债务 金额 。 


这 些 观 点 被 应 用 于 许多 场合 ， 特 别 是 用 户 在 进行 虚拟 物品 的 线 上 
交易 时 。 例 如 ， 在 进行 点 对 点 (peer-to-peer) 的 文件 分 享 时 ， 我 们 就 可 
能 遇 到 吃 白 食 的 人 ， 他 们 只 下 载 ， 不 分 享 。 进 行文 件 交 易 可 能 是 一 个 
可 行 的 解决 方案 ， 但 是 如 何 找到 两 个 相互 需要 对 方 文 件 的 人 是 个 协调 
上 的 难题 。 在 一 些 项 目 如 莫 估 (Mojo Nation) 和 学 术 构 想 如 卡 玛 

(Karma) 中 ， 用 户 自动 获得 一 定数 额 的 虚拟 货币 。 接 收文 件 时 ， 用 户 
可 以 用 虚拟 货币 支付 费用 ; 辐 其 他 用 户 发 送 文件 时 ， 赚 取 虚 拟 货币 。 
无 论 是 接收 还 是 发 送 文 件 ， 一 个 或 者 多 个 服务 器 跟踪 记 杂 用 户 的 账户 
余额 ， 而 且 可 以 把 虚拟 货币 兄 换 成 真实 货币 。 虽 然 莫 佐 项 目 在 推出 货 
币 抑 换 功 能 之 前 束 消 失 了 ， 但 它 算得 上 是 我 们 现在 使 用 的 比特 法 

(BitTorrent， 一 种 内 容 分 发 协议 ) 和 塔 茶 (Tahoe-LAFS， 一 种 分 布 式 
数据 存储 方式 ) 的 鼻祖 。 


网 络 信用 卡 的 葬 痛 


许多 电子 文 付 方式 都 可 以 根据 信用 和 现金 这 两 个 基本 概念 进行 分 
类 。 比 特 币 显然 属于 现金 类， 但 我 们 先 来 谈 谈 信用 类 。 


信用 卡 交 易 征 目前 主要 的 线 上 文 付 方式 。 如 昌 你 在 亚马逊 这 样 的 
网 站 购 过 物 ， 那 么 你 应 该 很 清楚 流程 。 首 和 完 ， 输 入 你 的 信用 卡 信息 ， 
所 击发 送 ， 亚 马 进 收 到 这 些 信息 后 反馈 给 “系统 ”"， 这 一 系统 包括 信息 处 
理 紫 、 银 行 、 信 用 卡 公司 及 其 他 中 介 。 


然而 ， 如 琳 使 用 贝 宇 交 易 ， 那 么 你 体验 的 束 古 中 介 式 结构 风格 。 
你 和 卖家 之 间 存 在 一 个 中 介 人 公司， 你 把 信用 卡 信息 发 送 给 中 介 公 司 ， 
中 介 公 司 核准 交易 并 通知 卖家 ， 并 在 每 个 交易 日 结束 时 与 卖家 统一 结 
Es 


这 一 结构 的 优势 是 ， 你 不 需要 提供 给 卖家 你 的 信用 卡 信息 ， 规 避 
了 安全 风险 。 你 也 无 须 向 卖家 提供 个 人 信息 ， 保 护 了 个 人 隐私 。 劣 势 
在 于 ， 它 增加 了 复杂 性 ， 你 和 卖家 无 法 进行 直接 交流 ， 都 得 在 中 介 公 
司 开 设 账户 。 


如 今 ， 我 们 已 经 习惯 在 网 络 购物 时 提交 个 人 信用 卡 信息 ， 至 少 已 
经 勉强 地 接受 了 这 一 点 。 我 们 也 习惯 了 网 络 公司 搜集 我 们 的 网 络 购物 
及 浏览 历史 。 但 在 20 世 纪 90 年 代 ， 网 络 尚 是 新 兴 事 物 ， 数 据 加 密 协 议 
刚刚 兴起 ， 消 费 者 对 这 些 问题 深 感 担忧 ， 对 网 络 购物 的 安全 性 并 不 信 
任 。 特 别 症 ， 通 过 一 个 不 可 靠 的 渠道 ， 把 目 己 的 信用 卡 信息 捉 交 给 不 
知名 的 网 络 商家 ， 这 在 当时 看 来 ， 几 乎 难以 置信 。 在 这 种 育 景 下 ， 中 
介 式 架构 在 当时 引发 了 诸多 兴趣 。 


1994 年 ， 第 一 虚拟 公司 (First Virtue) 成 立 。 它 是 一 家 较 早 成 立 的 
中 介 文 付 公 司 ， 也 是 最 早 设立 完全 虚拟 化 办 公 室 的 公司 之 一 。 顾 名 思 
义 ， 它 的 员工 裔 布 全 国 ， 通 过 互联 网 沟通 。 


第 一 虚拟 公司 的 支付 体系 与 贝 宝 现在 的 体系 类 似 ， 只 是 早 于 后 者 
很 多 年 。 用 户 注 册 ， 提 交 信 用 卡 信息 。 当 用 户 进行 网 络 购物 时 ， 商 家 
把 详细 的 支付 信息 发 送 给 第 一 虚拟 公司 ， 第 一 虚拟 公司 与 用 户 确 认 支 
付 信 息 ， 确 认 无 误 后 批准 支付 。 其 中 有 两 个 细节 值得 注意 ， 第 一 ， 所 
有 沟通 都 通过 电子 邮件 。 那 时 网 页 浏览 器 刚刚 开始 全 面 支持 HTTPS 等 
加 密 协 议 ， 多 方 参与 增加 了 加 密 该 支付 的 复杂 性 〈 其 他 中 介 采 用 把 信 
息 骨 入 URL 链 接 或 者 在 HTTP 上 定制 加 密 协 议 的 方式 ) 。 第 二 ， 用 户 有 
90 天 的 拒 付 期 ，3 个 月 之 后 卖家 才能 收 到 货款 。 现 在 ， 卖 家 可 以 立即 收 
到 货款 ， 但 是 消费 者 依然 可 以 索 回 货款 或 者 对 信用 卡 账单 提出 申诉 。 
在 这 种 情况 下 ， 商 家 必须 把 货款 退还 给 信用 卡 公 司 。 


20 世 纪 90 年 代 中 期 ， 出 现 了 一 个 较 有 竞争 力 的 中 介 人 体系， 我们 称 
之 为 安全 电子 交易 协议 (Secure Electronic Transaction， 人 简称 SET) 。 在 
SET 体系 中 ， 用 户 无 须 把 信用 卡 信息 提供 给 商家 ， 也 无 须 在 中 介 公 司 注 
册 账 户 。 进 行 网 络 购物 时 ， 用 户 的 浏 席 避 会 将 交易 和 信用 卡 信 息 加 密 
存储 在 电脑 上 的 应 用 程序 里 ， 只 有 中 介 能 够 解密 这 些 信 息 ， 甚 至 连 商 
家 都 不 能 。 这 样 ， 消 费 才 可 以 放心 地 把 加 密 过 的 信息 发 给 商家。 商家 
再 把 这 些 加 密 信 息 和 它们 自己 的 交易 信息 一 同 转发 给 中 介 。 中 介 人 解密 
你 的 信息 ， 与 商家 的 交易 信息 进行 对 比 ， 只 有 在 双方 信息 一 致 的 情况 
下 ， 中 介 才 会 批准 支付 。 


SET 由 维 院 (VISA) 、 万 事 达 以 及 多 家 当时 重量 级 的 科技 公司 开 
发 而 成 ， 包 括 网 景 (Netscape) 、IBM、 和 微软 、 威 瑞 信 (Verisign) 和 
RSA( 美 国 知 名 信息 安全 、 加 密 数 据 公司 )。 它 融合 了 多 个 方案 ， 成 为 一 
个 标准 性 体系 。 


一 家 叫 网 络 现金 (CyberCash) 的 公司 采用 了 SET 体系 。 这 家 公司 
在 很 多 方面 都 很 有 趣 。 它 们 的 产品 除了 处 理 信用 卡 支 付 交 易 之 外 ， 还 
包括 一 种 叫 作 网 络 币 (CyberCoin) 的 数字 货币 。 这 是 一 种 小 额 支付 系 
统 ， 用 于 支付 小 额 消费 行为 ， 比 如 ， 用 户 可 以 用 网 络 币 支付 几 美 分 在 
线 阅读 报纸 的 费用 。 这 也 就 意味 着 ， 用 户 账 户 里 的 网 络 币 余 额 一 般 都 


在 10 美 元 以 内 。 人 但是， 有趣 的 是 ， 它 们 却 能 得 到 美国 政府 联邦 存款 保 
险 公 司 (FDIC) 对 每 个 账户 高 达 10 万 美元 的 投保 金额 。 


更 有 趣 的 是 ， 网 络 现金 公司 运行 时 ， 美 国政 府 限 制 加 密 技 术 的 出 
口 ， 因 为 当时 加 密 技 术 被 认为 古 一 种 武 占 。 当 然 ， 现 在 这 种 限制 已 被 
废除 。 但 在 当时 ， 这 也 就 意味 着 国外 用 户 无 权 下 载 包 含 加 密 技术 的 软 
件 。 但 是 ， 网 络 现金 公司 得 到 美国 政府 的 特 批 ， 国 外 用 户 可 以 下 载 它 
的 软件 。 政 府 给 出 的 解释 是 ， 从 网 络 现金 公司 的 软件 中 提取 加 密 技术 
远 比 从 头 开发 一 套 全 新 加 密 撤 术 要 难得 多 。 


最 后 ， 许 多 人 怀疑 网 络 现金 公司 与 其 他 为 数 不 多 的 几 家 公司 一 起 
受到 千 禧 虫 感染 (Y2K bug) ， 向 部 分 客户 重复 收费 。2001 年 ， 网 络 现 
金 公司 破产 ， 其 知识 产权 被 威 瑞 信 收 购 ， 接 着 转卖 给 贝 宝 ， 贝 宝 屹 立 
至 今 。 


为 什么 SET 体系 行 之 有 效 ? 根本 原因 在 于 它 的 认证 机 制 。 认 证 殊 是 
把 加 密 过 的 身份 ， 即 公 钥 (public key) ， 与 现实 身份 连接 起 来 。 网 站 
要 从 像 威 瑞 信 这 样 的 认证 授权 公司 获得 认证 ， 用 户 的 浏览 万 才 会 判定 
它 是 安全 的 (通常 会 显示 一 个 锁 形状 的 图 标 ) 。 网 络 现金 公司 和 SET 体 
系 认为 ， 安 全 性 比 操作 的 便捷 性 更 重要 ， 因 此 ， 它 们 不 仅 要 求 服务 商 
和 商家 ， 还 要 求 客户 也 必须 获得 认证 。 获 得 认证 的 过 程 类 似 于 报税 一 
样 烦琐 ， 因 此 ， 这 个 系统 位 直 是 场 灾 难 。 几 十 年 来 ， 大 多 数 用 三 都 拒 
绝 使 用 要 求 终端 客户 认证 的 系统 ， 这 种 系统 只 会 出 现在 学 术 论 文 里 。 
比特 币 马 妙 地 避 开 了 这 一 难题 ， 而 且 无 须 用 户 的 真实 身份 。 比 特 币 系 
统 通 过 公 角 本 身 来 辨别 用 户 身 份 。 我 们 将 在 第 1 革 探 讨 这 个 问题 。 


20 世 纪 90 年 代 中 期 ， 正 当 SET 体 系 标准 化 时 ， 万 维 网 联盟 (World 
Wide Web Consortium) 也 在 探索 如 何 将 金融 支付 方式 标准 化 。 它 们 试 
图 扩展 HTTP 协议 ， 这 样 ， 用 户 不 需要 其 他 软件 ， 通 过 浏览 器 就 可 以 完 
成 交易 。 事 实 上， 它们 对 如 何 扩展 HITP 协 议 提出 了 一 个 总 体 方 案 ， 也 
给 出 了 一 个 用 户 支 付 案例 。 但 这 从 未 付 诸 实践 ， 整 个 扩展 框架 并 未 应 


用 于 浏览 器 中 。 近 20 年 后 ，2015 年 ， 联 盟 宣 布 重新 考虑 扩展 计划 ， 这 
次 ， 比 特 币 将 成 为 该 标准 化 进程 的 一 部 分 。 但 是 考虑 到 以 往 的 失败 教 
训 ， 我 对 此 并 不 乐观 。 


从 信用 到 (加 密 ) 现金 


现在 该 谈 谈 现金 体系 了 。 如 前 所 述 ， 将 现金 和 信用 进行 比较 ,我 
们 发 现 ， 现 金 体 系 需 要 启动 目 人 循环， 但 优势 在 于 ， 它 规避 了 买 家 拒 不 
偿还 债务 的 风险 。 此 外 ， 现 金 体系 还 有 为 外 两 个 优势 第 一 ， 更 好 地 
确保 了 用 户 的 匿名 性 。 信 用 卡 与 个 人 信息 绑 定 ， 因 此 ， 银 行 可 以 追 得 
消费 者 的 所 有 消费 记录 。 但 是 ， 如 果 使 用 现金 交易 ， 束 与 银行 无 天， 
卖家 也 无 须知 道 消费 者 的 个 人 信息 。 第 二 ， 现 金 文 持 线 下 交易 ， 无 须 
致电 第 三 方 获得 交易 批准 。 也 许 交 易 完 成 后 需要 把 钱 存 入 银行 ， 但 这 
要 容易 得 多 。 


比特 币 没 有 这 两 个 竺 点， 但 具备 两 个 类 似 的 功能 。 它 的 匿名 性 比 
不 上 现金 。 用 户 在 使 用 比特 币 支 付 时 ， 无 须 使 用 自己 的 真实 身份 ， 但 
征 ， 如 采用 户 不 够 小 心 还 屠 ， 可 以 借助 公开 的 交易 账目 和 聪明 的 算法 
查 出 用 户 的 交易 记 杂 并 最 终 查 出 用 户 身份 。 我 们 将 在 第 6 章 展开 这 个 复 
杂 双 有 趣 的 比特 币 匿名 性 问题 。 


比特 币 并 不 完全 文 持 线 下 交易 。 但 优点 是 ， 它 不 需要 中 央 处 理 
器 ， 而 是 依赖 点 对 点 网 络 ， 这 种 网 络 跟 互 联网 一 样 具 有 很 强 的 修复 能 
力 。 我 们 将 在 第 3 章 讨论 “绿色 地 址 ?和 小 额 文 付 工 具 ， 它 们 可 以 帮助 我 
们 在 特定 条 件 和 特定 情境 下 进行 线 下 文 付 。 


大 卫 . 乔 姆 (David Chaum) 在 1983 年 最 早 提 出 把 加 密 技术 运用 于 现 
金 上 的 想法 。 我 们 可 以 拿 现 实 中 的 例子 来 帮助 理解 。 比 如 ， 我 向 人 们 
发 放 纸 条 ， 上 面 写 着 “ 拿 到 此 条 的 人 可 以 来 我 这 里 领取 1 美元 ”。 假设 人 


们 信任 我 不 会 食 言 而 且 我 的 签名 不 可 伪造 ， 他 们 束 可 以 像 银 行 汇票 一 
样 流通 纸 条 。 事 实 上 ， 银 行 汇 票 最 初 融 是 商业 银行 发 放 的 文 付 承 诡 。 
只 是 到 了 近代 ， 政 府 才 开始 介入 ， 集 中 货币 供给 ， 用 法 律 手 段 强制 要 
求 银行 兑现 票据 。 


我 可 以 通过 数字 签名 发 放电 子 纸 条 ， 但 那样 的 话 ， 义 会 过 到 一 
个 “双重 支付 ”(double spending) 这 一 恼人 的 难题 ， 收 到 表示 一 定金 额 
的 虚拟 货币 的 数据 时 ， 人 们 可 以 复制 该 数据 ， 然 后 传输 给 他 人 “。 假设 
人 们 的 复制 技术 足够 优秀 ， 我 们 难以 状 别 哪些 是 初始 数据 ， 哪 些 是 复 
制品 ， 那 么 ， 我 们 能 够 解决 “双重 文 付 ” 的 问题 吗 ? 


可 能 的 解决 方案 是 : 我 在 发 出 的 每 份 纸 条 上 印 上 一 串 独 特 的 序列 
号 。 当 别人 把 纸 条 给 你 时 ， 你 检查 一 下 我 的 签名 ， 然 后 打 电 话 给 我 ， 
告诉 我 相应 的 序列 号 ， 询 问 印 有 这 个 序列 号 的 纸 条 是 否 已 被 使 用 过 。 
如 末 我 告诉 你 没有 ， 那 你 就 可 以 放心 地 收 下 这 个 纸 条 。 我 会 在 账本 上 
记录 该 纸 条 已 被 使 用 。 你 要 做 的 征 定 期 把 收 到 的 纸 条 区 给 我 ， 我 会 再 
给 你 相同 数量 的 印 有 新 序列 号 的 纸 条 。 


这 个 方法 是 可 行 的 。 它 在 现实 中 施行 起 来 帆 为 烦琐 ， 但 在 网 络 上 
却 比较 简单 明了 ， 只 要 我 设置 一 台 服 务 器 ， 用 它 来 完成 签名 和 序列 号 
的 记录 工作 。 唯 一 的 问题 在 于 ， 因 为 难以 匿名 ， 它 很 难 称 得 上 有 是 真正 
的 现金 。 不 管 是 发 行 还 是 兑现 纸 条 ， 我 都 可 以 把 序列 号 和 个 人 信息 一 
同 记录 在 案 。 这 也 就 意味 着 ， 我 能 够 奶 踪 你 的 所 有 背 费 行 为 。 


乔 姆 提供 了 一 个 创造 性 解决 方案 。 它 不 仅 能 够 傈 护 用 户 的 匿名 
性 ， 同 时 还 杜绝 了 “双重 支付 ”。 它 的 方法 是 :我 给 你 一 张 纸 条 ， 你 把 它 
的 序列 号 记录 下 来 ,并且 不 要 让 我 看 见 。 然 后 我 再 签名 ， 并 不 需要 知 
道 它 的 序列 号 。 这 在 密码 学 里 被 称 为 “ 冒 签 ” (blind signature) 。 选 取 一 
个 较 长 、 随 机 的 序列 号 能 够 更 好 地 保护 你 的 利益 ， 因 为 这 样 的 序列 号 
更 有 可 能 是 独一无二 的 。 我 不 必 担 心 你 选取 一 个 使 用 过 的 序列 号 ， 
为 这 样 你 只 会 得 到 一 个 无 效 货币 而 遭受 损失 。 


这 是 第 一 个 真正 意义 上 的 电子 货币 方案 。 它 虽然 有 效 ， 但 必须 要 
有 一 个 大 家 信任 的 中 心机 构 管理 运行 的 服务 器 。 不 仅 如 此 ， 这 个 服务 
器 还 必须 参与 每 笔 交 易 。 如 果 服 务 器 停止 工作 ， 交 易 就 不 得 不 暂停 。 
数 年 之 后 的 1988 年 ， 乔 姆 与 两 位 密码 学 专家 阿 莫 斯 : 菲 亚 特 (Amos 
Fiat) 和 摩 尼 . 纳 欧 尔 (Moni Naor) 合作 ， 提 出 线 下 电子 货币 的 概念 。 
乍 看 上 去 这 似乎 是 不 可 行 的 : 如 采用 户 把 同一 个 电子 货币 文 付 给 两 家 
没有 连 入 同一 个 网 络 或 与 同一 家 中 心机 构 合 作 的 不 同 商家 ， 它 们 怎么 
能 够 发 现 并 阻止 这 种 行为 呢 ? 


与 其 去 预防 双重 文 付 ， 不 如 关注 事后 当 商 家 重新 连 上 银行 服务 器 
的 时 候 如 何 察觉。 这 才 是 比较 聪明 的 做 法 。 乘 坐 没有 网 络 连接 的 飞机 
时 ， 如 果 你 用 信用 卡 消 费 ， 真 正 的 转账 是 在 航空 公司 重新 连 上 网 络 之 
后 才 发 生 的 。 如 果 你 的 信用 卡 被 拒 付 ， 你 会 欠 航 空 公司 (或 你 的 银 
行 ) 一 笔 钱 。 仔 细 想 想 ， 传 统 金融 体系 的 很 大 一 部 分 就 建立 在 如 何 检 
测 钳 误 和 损失 这 一 基础 之 上 ， 然 后 才 是 收回 损失 或 符 玉 失误 方 。 如 于 
你 给 菜 和 人 开 一 张 个 人 文 票 ， 他 不 会 知道 这 笔 钱 是 否 真 实 存 在 于 你 的 账 
己 里 ,但 当 他 去 银行 疯 现 时 被 银行 拒绝 ， 他 会 追究 你 的 黄 任 。 类 似 
地 ， 如 采 线 下 电子 货币 系统 被 广泛 应 用 ， 国 家 应 该 制定 相关 法 律 ， 规 
定 双 重文 付 属 于 犯 徘 行为 。 


为 了 检测 出 双重 文 付 ， 乔 姆 、 菲 亚 特 和 纳 欧 尔 三 人 提出 了 一 种 复 
杂 的 加 密 机 制 。 简 而 言 之 ， 这 套 机 制 可 以 达到 以 下 目的 : 发 行 方 在 电 
子 货币 中 以 加 密 方 式 甬 入 你 的 个 人 信息 ， 除 了 你 本 人 ， 包 括 银行 在 内 
的 任何 人 都 无 法 解密 。 你 用 电子 货币 消费 时 ， 接 收 方 会 随机 挑选 一 部 
分 密码 要 求 你 解密 ， 并 将 之 记录 下 来 。 这 种 解密 的 内 容 不 足以 骏 露 你 
的 身份 。 如 果 你 用 同一 份 电子 货币 双重 文 付 ， 当 两 个 接收 方 都 去 银行 
兄 现 时 ， 银 行 可 以 把 两 份 解密 的 信息 合 在 一 起 ， 最 终 儿 乎 可 以 肯定 知 
道 你 的 号 份 。 


你 可 能 会 担心 ， 万 一 有 人 陷害 我 双重 文 付 呢 ? 比如 ， 你 文 付 给 我 
一 份 电子 货币 ， 我 不 去 银行 兑现 成 有 我 身份 加 密 的 新 数字 货币 ， 而 十 


直接 拿 着 你 给 的 货币 进行 重复 消费 。 不 必 担 心 ， 这 是 行 不 通 的 ， 因 为 
我 在 用 它 支 付 时 ， 接 收 方 会 要 求 我 解密 一 段 密码 ， 这 段 密 码 与 之 前 你 
解密 的 那 段 密码 肯定 是 不 一 样 的 ， 因 此 ， 我 无 法 完成 这 一 解密 任务 。 


多 年 以 来 ， 许 多 密码 学 家 一 直 在 研究 并 完善 这 一 机 制 。 在 乔 姆 、 
菲亚特 和 纳 欧 尔 提 出 的 构想 中 ， 假 设 一 枚 电子 货币 价值 100 美 元 ， 如 果 
你 想 买 一 个 价格 为 75 美 元 的 物品 ， 你 没 法 把 这 枚 货币 分 钊 成 75 美 元 和 
25 美 元 。 你 只 能 去 银行 ， 把 价值 100 美 元 的 货币 兑换 成 现金 ， 再 拿 现金 
换取 价值 75 美 元 和 25 美 元 的 货币 。 但 是 ， 在 一 篇 论文 里 ，Tatsuaki 
Okamoto 和 KazuoOhta 用 梅 克 尔 树 (Merkle trees) 建立 了 一 个 可 以 分 割 
电子 货币 的 系统 。 梅 克 尔 树 在 比特 币 里 还 会 出 现 ， 我 们 将 在 第 1 章 遇 到 
它 。 这 个 机 制 的 效率 还 有 很 大 的 提高 空间 。 特 别 是 ， 这 一 机 制 采 用 了 
由 史蒂芬 . 布 兰 德 斯 (Stefan Brands) 在 20 世 纪 90 年 代 ， 往 : 卡 姆 实 (Jan 
Camenisch) 、 苏 珊 : 洪 博 格 (Susan Hohenberger) 、 安 娜 : 莉 斯 卡 亚 

(Anna Lysyanskaya) 在 2005 提 出 的 * 零 知识 验证 ”(〈zero-knowledge 
proofs) ， 带 来 了 很 好 的 效果 。 在 第 6 章 ， 我 们 将 看 到 ， 零 知识 验证 也 
同样 被 运用 于 比特 币 体 系 中 。 


继续 回 到 乔 姆 。 为 把 目 己 的 想法 商业 化 ， 他 于 1989 年 创立 数字 现 
金 公司 (DigiCash) ， 应 该 是 第 一 家 致力 于 解决 线 上 文 付 问题 的 公司 。 
数 子 现金 公司 比 我 们 之 前 提 过 的 第 一 虚拟 公司 和 网 络 现金 公司 早 了 整 
整 5 年 。 数 字 现 金 系统 使 用 的 现金 叫 电子 现金 ,为 外 ， 它 们 还 有 一 个 名 
为 “网 络 资金 ” (cyberbucks) 的 系统 。 包 括 美国 的 几 家 银行 和 分 兰 至 少 
一 家 银行 在 内 的 数 家 银行 ， 确 实 使 用 了 这 个 系统 。 这 可 是 远 在 比特 币 
出 现 之 前 的 20 世 纪 90 年 代 ， 可 能 会 让 一 些 比特 币 推 潜 者 大 吃 一 慰 ， 
为 他 们 认为 银行 是 惧怕 科技 、 抵 制 创新 的 庞然大物 。 


当 你 需要 交易 时 ， 你 点 击 一 条 由 资金 接收 方 发 回 的 链接 ， 跳 转 至 
数字 现金 网 页 ， 同 时 ， 会 开通 一 条 反 疝 链接 连 回 你 的 电脑 。 也 就 古 
说 ， 你 的 电脑 必须 能 够 接收 外 部 链接 ， 就 像 一 侣 服务器。 你 需要 拥有 
目 己 的 IP 地 址 ， 你 的 网 络 服务 提供 商 也 必须 允许 外 部 连接 。 如 有 果 连 接 成 


功 ， 电 子 现金 软件 会 在 你 的 电脑 上 运用 ， 然 后 你 再 批准 交易 ， 进 行 付 


= 
款 。 


乔 姆 的 数字 现金 技术 获得 了 几 项 专利 ， 特 别 是 它 使 用 的 育 签 技 
术 。 外 界 对 他 的 行为 是 有 争议 的 ， 因 为 专利 妨碍 了 其 他 人 用 该 技术 进 
一 步 开 发 电子 现金 系统 。 但 是 几 位 经 和 常 在 一 个 叫 “ 网 络 朋 
克 ”(cyberpunks) 的 邮件 组 里 互动 的 密码 学 专家 则 另辟蹊径 。 著 名 的 
中 本 聪 (Satoshi Nakamoto) 第 一 次 向 全 世界 宣布 比特 币 系 统 就 是 在 一 
个 邮件 组 里 ， 它 的 前 号 束 是 网 络 朋克 ， 这 绝 非 巧合 。 我 们 将 在 第 7 章 探 
讨 网 络 朋克 运动 及 比特 币 的 起 源 。 


网 络 朋 克 的 几 位 密码 学 家 开发 出 了 一 种 名 叫 魔法 货币 (Magic 
Money) 的 类 似 于 电子 现金 的 产品 。 魔 法 货币 虽然 侵犯 了 电子 现金 的 专 
利 ， 但 因为 他 们 宣称 它 只 用 于 实验 目的 ， 因 此 并 未 被 禁止 。 魔 法 货 
是 一 个 很 有 趣 的 软件 。 它 采用 纯 文 本 界面 ， 你 可 以 通过 电子 邮件 发 送 
交易 信息 ， 只 需要 把 交易 信息 复制 粘贴 到 电子 邮件 并 发 送 给 其 他 用 户 
就 可 以 了 。 当 然 ， 你 需要 使 用 PGP(Pretty Good Privacy， 一 种 加 密 软 件 ) 
等 终端 对 终端 的 电子 邮件 加 密 软 件 ， 以 确保 信息 在 传输 过 程 中 的 安 


全 。 


随后 ， 本 : 劳 里 (Ben Laurie) 在 其 他 人 的 帮助 下 创立 Lucre 系 统 。 
该 系统 试图 用 一 种 非 专 利 技术 替代 电子 现金 中 的 盲 签 ， 其 他 则 与 电子 
现金 系统 大 致 类 似 。 


另外 一 个 由 伊 恩 . 戈 德 堡 (Ian Goldberg) 提出 的 方案 则 试图 解决 无 
法 分 割 电子 货币 换取 零钱 的 问题 。 他 的 思路 是 : 当 你 没有 零钱 而 辐 商 
家 文 付 了 过 多 金额 时 ， 如 果 商 家 有 货币 ， 它 会 转 回 给 你 超额 文 付 的 部 
分 。 但 是 应 该 注意 到 ， 这 一 想法 天 来 匿名 性 问题 。 如 前 所 述 ， 在 电子 
现金 系统 里 ， 付 和 坎 人 匿名 而 商家 不 匿名 。 但 是 当 商家 找 零 时， 商家 实 
际 上 成 了 付 秋 人， 因此 他 们 是 匿名 的 。 从 你 收 到 商家 的 找 堆 之后， 你 
需要 去 银行 兑现 ， 这 时 ， 你 又 是 不 匿名 的 。 这 一 系统 无 法 确保 用 户 的 


匿名 性 ， 因 此 ， 伊 恩 . 戈 德 堡 又 重新 设立 了 一 个 系统 ， 在 这 个 系统 中 有 
不 同类 型 的 货币 ， 能 够 确保 用 户 在 匿名 的 情况 下 既 能 消费 又 能 收 到 找 


仿 


为 什么 数字 现金 最 终 失 败 了 呢 ? 主要 原因 在 于 它 没 能 说 服 银行 和 
商家 使 用 它 。 因 为 使 用 这 一 系统 的 商家 不 多 ， 用 户 也 就 不 愿意 用 它 。 
更 糟 的 是 ， 它 并 不 或 没有 文 持 好 用 户 和 用 户 之 间 的 交易 ， 只 侧重 于 用 
户 和 商家 之 间 的 交易 。 因 此 ， 商 家 不 接受 它 ， 这 个 系统 殉 很 难 激发 其 
他 人 的 兴趣 。 最 终 ， 数 字 现 金 败 给 了 信用 卡 公司 。 


另外 ， 比 特 币 既 文 择 用 户 和 商家 之 间 的 交易 ， 也 文 持 用 户 和 用 户 
之 间 的 交易 。 事 实 上 ， 比 特 币 体系 并 不 把 用 户 和 商家 区 别 开 来 。 比 特 
币 的 成 功 很 大 部 分 大 概要 归功 于 它 对 用 户 - 用 户 间 交易 的 支持 。 从 一 开 
始 ， 每 位 比特 币 用 户 都 可 以 发 给 其 他 用 户 ， 因 而 整个 比特 币 社区 都 努 
力争 取 人 们 对 比特 币 的 文 持 ， 并 促使 商家 也 接受 它 。 


数字 现金 公司 的 最 后 几 年 ， 它 试图 通过 防 侵入 硬件 来 预防 双重 文 
付 ， 不 再 把 重心 放 在 双重 文 付 发 生 后 的 检测 上 “。 在 这 套 系 统 里 ， 有 一 
种 叫 作 钱 包 或 者 类 似 于 卡片 的 设备 。 这 个 设备 会 记录 你 的 账户 余额 。 
请 费 之 后 ， 余 额 减 少 ， 充 值 之 后 ， 余 额 增加 。 这 个 设备 的 用 处 是 ， 没 
有 人 人 能够 更 改 计 数 右 数额 ,不管 是 通过 物理 手段 还 是 电子 技术 。 
此 ， 当 计数 器 归 零 时 ， 倘 铬 没有 继续 充值 ， 用 户 都 无 法 消费 。 


许多 公司 推出 过 带 有 防 侵入 硬件 的 电子 现金 系统 。 数 字 现 金 后 来 
与 一 家 叫 CAFE 的 欧洲 公司 合作 。 另 一 家 叫 Mondex [ 直 的 电子 钱包 公司 
也 是 基于 这 个 想法 创立 的 ， 后 来 被 万 事 达 收购 。 维 茸 (Visa) 也 有 类 似 
的 系统 ， 名 为 维 了 萨 货 币 (VisaCash) 。 


在 使 用 电子 钱包 时 ， 使 用 着 既 持 有 一 张 智 能 卡 族 ， 又 拥有 一 个 * 读 
卡 器 ” (wallet unit) ， 两 者 均 可 进行 充值 。 使 用 者 之 间 直 接 可 以 互相 进 
行文 付 。 文 付 方 将 智能 卡 插 入 读 卡 郁 中 ， 钱 即 转 入 读 卡 禹 。 接 受 方 将 


卡 插 入 读 卡 硕 ， 钱 束 轩 入 第 二 次 插入 的 卡 里 。 这 一 过 程 交 换 的 是 数字 
货币 ， 有 是 匿名 的 交换 流程 。 


Mondex 公 司 在 几 个 地 方 推广 其 技术 ， 其 中 一 个 城市 正好 离 我 的 家 
乡 安大略 省 圭 尔 夫 市 不 远 。 你 大 概 已 经 猜 到 ， 这 项 技术 并 没有 被 广泛 
使 用 。 主 要 原因 是 ， 电 子 Mondex 卡 片 跟 现 金 类 似 ， 一旦 丢失 或 者 被 
偷 ， 钱 也 就 于 了 。 更 有 其 者 ， 如 果 卡 片 发 生 故 障 ， 或 者 读 卡 器 无 法 读 
卡 ， 束 没 法 知道 卡 里 余额 是 多 少 。 这 种 事情 真正 发 生 时 ，Mondex 公 司 
一 般 会 自 担 损失 。 它 们 会 假定 卡 里 有 余额 并 赔偿 用 户 损失 ， 这 上 自然 是 
一 笔 不 小 的 开 文 。 


此 外 ， 这 个 系统 里 的 钱包 反应 比较 慢 。 用 信用 卡 或 现金 文 付 要 快 
得 多 。 商 家 都 不 喜欢 拥有 太 多 文 付 终端 ， 对 它们 来 说 ， 一 个 信用 卡 POS 
机 束 够 了 。 多 重 原因 加 在 一 起 导致 了 Mondex 公 司 的 失败 。 


尽管 如 此 ，Mondex 公 司 的 用 户 卡 是 有 小 心 厂 的 智能 卡片 ， 这 项 技 
术 事 实证 明 是 相当 成 功 的 。 如 今 ， 在 很 多 国家 ， 包 括 我 所 在 的 加 拿 
大 ， 每 张 信 用 卡 和 借 记 卡 都 采用 了 智能 卡片 技术 。 它 们 的 目的 不 是 防 
止 双重 支付 。 非 现金 技术 中 不 会 存在 双重 支付 的 问题 ， 因 为 银行 而 不 
是 卡片 记录 你 的 账户 余额 和 可 用 信用 。 和 宥 能 卡 厂 的 目的 是 用 于 认证 ， 
也 束 是 说 ， 它 为 了 证 明 你 知道 自己 账户 的 PIN。 虽 然 用 途 不 同 ， 早 在 银 
行 广泛 采用 该 技术 之 前 ，Mondex 公 司职 已 经 开始 运用 这 项 技术 。 


赁 空 发 行货 币 


如 果 你 有 一 个 价值 100 美 元 的 电子 现金 ， 那 怎么 能 够 保证 它 的 确 价 
值 100 美 元 呢 ? 数 字 现 金 给 出 的 答案 很 简单 :， 要 想 获 得 一 个 价值 100 美 
元 的 电子 现金 ， 你 必须 从 你 的 银行 账户 取现 100 美 元 ， 交 给 发 行 电 子 现 
金 的 银行 。 但 要 实现 这 个 目的 可 以 通过 不 同 的 方式 ， 不 同 的 公司 采取 


的 方法 也 各 不 相同 。 设 想 一 个 小 概率 事件 : 如 果 一 个 政府 授权 某 家 银 
行 发 行 电 子 货币 ， 攒 空 创造 新 电子 现金 ， 会 怎么 样 呢 ? 网 格 现金 
(NetCash) 就 是 基于 这 一 假设 创立 的 ， 但 是 它 并 未 真正 实施 过 。 电 子 
黄金 (E-Gold) 则 采用 一 套 完全 不 同 的 体系 ， 它 在 保险 库 中 存 入 一 定 
量 的 黄金 ， 根 据 黄 金价 格 发 行 电子 货币 。 一 家 名 为 数字 黄金 
(Digigold) 的 公司 并 不 完全 依赖 黄金 ， 但 也 有 部 分 黄金 储备 。 


归根 结 底 ， 这 些 方式 都 是 使 电子 货币 的 价值 随 美 元 或 某 种 特定 商 
品 的 价值 而 浮动 。 如 有 果 美 元 价值 上 升 或 下 降 ， 你 的 电子 货币 价值 就 相 
应 地 上 升 或 下 降 。 男 一 种 比较 激进 的 方案 ， 束 是 使 电子 货币 目 成 体 
系 ， 其 他 货币 不 会 影响 其 发 行 和 价值 。 


要 想 创造 一 种 目 由 译 动 并 且 具 有 真实 价值 的 虚拟 货币 ， 必 须要 设 
计 出 某 种 具有 稀缺 性 的 东西 。 其 实 ， 正 是 因为 黄金 和 钻石 的 稀缺 性 ， 
它们 才 会 成 为 货币 的 储备 。 在 虚拟 世界 ， 你 可 以 这 样 设计 你 的 系统 ， 
即 虚拟 货币 只 有 在 需要 花 一 段 时 间 解 决 了 一 定 的 数学 计算 (或 “ 文 题 ”) 
之 后 方 可 生成 ， 这 样 束 保 证 了 稀缺 性 。 比 特 币 体系 中 的 “ 控 矿 ”就 是 这 样 
的 ， 我 们 会 在 第 5 章 详 细 探讨 。 


通过 解决 数学 计算 来 赋予 虚拟 货币 价值 ， 这 一 想法 并 不 新 鲜 。 早 
在 1992 年 ， 密 码 学 家 闻 提 亚 : 沃 克 〈Cynthia Dwork) 和 摩 尼 . 纳 欧 尔 
(Moni Naor) 首次 提出 这 种 方案 ， 用 来 降低 垃圾 邮件 问题 。 设 想 你 每 
次 发 送 邮 件 时 ， 计 算 机 都 不 得 不 花 几 秒 钟 的 时 间 解 决 一 道 数学 计算 题 
目 。 如 果 你 没 能 附 上 题目 的 答案 ， 收 件 人 的 邮箱 会 自动 忽略 你 发 来 的 
邮件 。 对 于 普通 用 户 ， 因 为 他 们 发 送 邮 件 的 频率 不 高 ， 不 会 融 来 太 大 
麻烦 。 但 对 于 想 同 时 发 送 成 千 上 万 垃圾 邮件 的 人 来 说 ， 解 决 大 量 的 数 
学 计算 几乎 是 不 可 能 的 。1997 年 ， 亚 当 : 贝 克 (Adam Back) 在 一 个 名 
为 哈 希 现金 (Hashcash) 的 体系 中 采用 过 类 似 设计 。 


要 想 阻 止 垃圾 邮件 ， 这 些 数学 计算 必须 具备 一 定 的 特性 。 第 一 ， 
垃圾 邮件 发 送 着 解 出 一 踢 题 目 之 后 ， 不 能 把 这 个 答案 附 在 他 发 送 的 其 


他 邮件 上 。 为 了 做 到 这 一 点 ， 每 封 邮 件 会 对 应 一 个 数学 计算 题目 ， 题 
目 内 容 取 决 于 发 件 人 、 收 件 人 、 邮 件 内 容 和 发 送 时 间 。 第 二 ， 收 件 人 人 
无 须 重复 解 题 的 烦琐 过 程 ， 束 可 以 轻松 地 检查 发 件 人 附 上 的 答案 。 人 第 
三 ， 题目 之 间 应 是 相互 独立 的 ， 也 就 是 说 ， 解 决 一 道 题目 不 会 减少 解 
决 其 他 题目 所 需 的 时 间 。 第 四 ， 随 着 硬件 性 能 的 提升 ， 解 决 数学 计算 
变 得 越 来 越 快 、 越 来 越 容 易 ， 收 件 人 必须 要 调整 他 们 收 到 的 答案 的 难 
度 。 通 过 密码 学 中 的 哈 希 方程 (hash functions) 设计 的 题目 可 以 满足 以 
上 要 求 ， 我 们 将 在 第 1 章 学 习 它 。 


比特 币 使 用 的 数学 计算 与 哈 硕 现金 的 基本 类 似 ， 只 是 进行 了 微小 
的 改进 。 比 特 币 能 做 的 比 哈 硕 现 金 多 得 多 ， 毕 竟 ， 要 解释 比特 币 需要 
一 整 本 书 呢 ! 我 之 所 以 所 这 些 ， 是 因为 哈 布 现金 的 创始 人 亚当 : 贝 死 曾 
经 说 过 : “比特 币 只 是 把 哈 希 现金 进行 通货 脱 胀 控制 得 到 的 延伸 产品 轩 
了 。” 我 觉得 这 话 有 点 过 分 了， 就 像 说 :“ 特 斯 拉 只 是 在 轮子 上 加 上 电池 
ES 


正如 密码 学 里 任何 一 个 优秀 的 想法 一 样 ， 数 学 计算 题目 有 许多 变 
体 ， 每 个 变 体 具有 些微 不 同 的 特性 。 其 中 一 个 构想 来 自 维 莱 特 
(Rivest) 和 夏 马 尔 (Shamir) ， 他 们 提出 了 RSA 加 密 系 统 (RSA 中 的 
R 和 S$ 分别 为 Rivest 和 Shamir 的 首 字母 ) 。 研 究 哈 希 现金 之 后 我 们 发 现 ， 
解决 一 系列 数学 计算 题目 的 成 本 就 是 解决 单个 题目 的 简单 合 加 。 但 政 
府 发 行货 币 时 ， 成 本 可 不 是 这 么 计算 的 。 单 是 纸币 上 的 防伪 技术 ， 政 
府 就 需要 投入 巨大 的 初始 成 本 来 购买 设备 ， 施 加 安全 措施 等 。 但 是 一 
旦 研发 出 了 防伪 技术 之 后 ， 成 本 就 会 降低 ， 印 一 张 货币 和 印 一 百 张 的 
成 本 差别 并 不 大 。 换 言 之 ， 发 行 纸币 的 固定 成 本 很 高 ， 但 浮动 成 本 很 
低 。 维 莱特 和 夏 马 尔 想 要 设计 的 数学 计算 题目 具有 类 似 的 成 本 结构 ， 
这 样 ， 发 行 第 一 个 电子 货币 需要 巨大 的 计算 量 ， 但 接 下 来 就 会 变 得 很 
简单 。 他 们 的 设计 也 运用 了 哈 希 方程 ， 但 使 用 方式 不 同 。 我 们 不 打算 
讨论 他 们 的 详细 方案 ， 但 他 们 要 解决 的 问题 是 非常 有 趣 的 。 


人 们 为 什么 没有 广泛 使 用 哈 硕 现金 来 阻止 垃圾 邮件 呢 ? 也 许 和 是 因 
为 垃圾 邮件 问题 还 没有 足够 严峻 。 对 大 多 数 人 来 说 ， 垃 圾 邮件 只 是 个 
恼人 的 小 问题 ， 并 没有 严重 到 他 们 愿意 用 计算 机 算 力 来 解决 它 。 现 
在 ， 我们 有 了 垃圾 邮件 过 滤器 ， 能 够 有 效 地 阻挡 垃圾 邮件 。 男 外 一 个 
可 能 的 原因 是 ， 哈 硕 现 金 无 法 真正 阻止 垃圾 邮件 。 特 别 是 ， 现 在 大 多 
数 垃圾 邮件 发 送 人 通过 伪 己 网络 ， 用 病毒 大 量 入 侵 他 人 电脑 ， 批 量 发 
送 坪 圾 邮件 。 他 们 也 可 以 通过 这 些 电脑 来 获取 哈 硕 现金 。 所 以 ， 通 过 
数学 计算 进行 限制 的 想法 还 在 不 断 发 展 中 。 在 一 些 蔡 代 网 络 协议 的 构 
想 中 ， 如 小 型 LT 协议 (MinimalLT) ， 我 们 还 可 以 看 到 这 一 思路 。 


把 一 切 信息 部 记 孙 在 数据 库 账 本 中 


区 块 链 是 比特 币 的 另 一 项 关键 技术 ， 它 像 一 个 数据 库 账 本 ， 安 全 
记录 所 有 的 比特 币 交 易 信 息 。 区 块 链 的 理论 基础 由 来 已 信 ， 可 以 退 漳 
到 哈 勃 (Haber) 和 斯 托 尔 内 塔 (Stornetta) 在 1991 年 开始 发 表 的 一 系 
列 论文 。 他 们 提出 的 不 是 虚拟 货币 体系 ， 而 是 一 种 可 以 安全 地 对 数字 
文件 进行 时 间 戳 记录 的 方法 。 时 间 惟 是 为 了 记录 文件 创建 的 大 概 时 
间 。 更 重要 的 是 ， 时 间 惟 可 以 准确 反映 文件 创建 的 先后 顺序 : 如 果 一 
份 文 件 比 另 一 份 文 件 更 早 创建 ， 可 以 从 时 间 戳 中 看 出 来 。 时 间 惟 的 安 
全 性 体现 在 文件 的 时 间 惟 一旦 生成 ， 无 法 更 改 。 


用 户 发 送 文件 时 ， 哈 世 和 斯 托 尔 内 搭设 计 的 体系 能 够 同和 客户 提供 
时 间 惟 服务 。 服 务 器 收 到 文件 时 ， 它 会 用 当时 时 间 和 指向 之 前 文章 的 
链接 或 者 指针 作为 签名 ， 来 签名 该 文件 并 产生 包 全 签名 信息 的 认证 ， 
见 图 0.1。 这 里 所 说 的 指针 ， 指 癌 的 不 是 一 个 具体 地 址 ， 而 古 一 串 数 
据 。 也 束 是 说 ， 如 果 该 数据 被 更 改 了 ， 那 么 这 个 指针 也 整 目 动 失效 。 
在 第 1 章 ， 我 们 将 学 习 如 何 使 用 哈 希 方程 来 创建 这 种 指针 。 


图 0.1 链接 的 时 间 礁 
注 ; 要 想 对 一 份 文件 进行 认证 ， 时 间 戳 服务 器 必须 包括 指向 之 前 文件 认证 的 哈 希 指针 ， 当 前 时 


间 和 文件 内 容 本 身 ， 并 用 这 三 条 信息 来 对 文件 进行 签名 。 


这 种 协议 实现 的 效 末 是 : 每 份 文件 的 认证 都 确 休 了 上 一 份 文件 内 
容 的 完整 性 。 其 实 ， 反 复 运用 这 一 理论 : 每 次 认证 基本 上 都 保障 了 这 
个 认证 点 之 前 的 所 有 文件 和 认证 的 完整 性 。 假 设 这 个 系统 中 的 每 个 用 
尸 者 能 记录 包括 目 己 的 文件 、 之 前 和 之 后 的 文件 的 认证 在 内 的 几 个 认 
证 信息 ， 那 么 合 起 来 ， 束 可 以 确保 整个 文件 系统 不 会 被 更 改 。 竺 别 
是 ， 文 件 的 先后 顺序 被 保存 了 下 来 。 


随后 的 一 篇 论文 提出 了 一 个 可 以 提升 效率 的 方案 : 不 必 单 独 链接 
各 个 文件 ， 而 是 把 它们 集合 成 块 ， 然 后 在 一 条 链 中 链接 整个 块 。 在 每 
个 块 里 ， 文 件 通 过 树 状 结构 而 非 线性 结构 的 方式 相互 链接 。 这 一 方法 
减少 了 在 整个 系统 中 查找 特定 文件 所 需 的 工作 量 。 图 0.2 展 示 了 这 一 混 
合 而 成 的 体系 的 工作 方法 。 


图 0.2 高 效 的 链接 时 间 惟 
注 : 箭头 表示 哈 希 指针 ， 点 状 垂 直线 表示 时 间 间 隅 。 


这 一 数据 结构 形成 了 比特 币 区 块 链 的 框架 ， 我 们 在 第 3 章 可 以 看 到 
这 一 点 。 比 特 币 将 它 进 行 了 微妙 但 至 关 重 要 的 改进 ， 它 用 一 种 类 似 于 
哈 希 现金 的 协议 来 降低 在 区 块 链 里 增添 块 的 速度 。 这 种 改进 对 比特 币 
的 安全 性 市 来 了 深远 而 有 益 的 影响 。 比 特 币 体系 通过 一 群 未 被 认证 过 
的 节点 ， 即 “矿工 ”>， 来 记录 事件 ， 不 再 需要 认证 过 的 服务 器 。 通 过 每 个 
矿工 而 不 是 普通 用 户 记 录 块 的 信息 。 任 何人 都 可 以 通过 解决 数学 计 
算 ， 新建 块 ， 而 成 为 一 名 矿工 。 比 特 币 还 舍弃 了 签名 ， 只 依靠 哈 希 指 
针 来 确保 数据 结构 的 完整 性 。 最 后 ， 真 正 的 时 间 稚 对 比特 币 来 说 不 十 
很 重要 ， 整 个 系统 的 意义 在 于 根据 先后 顺序 记录 交易 信息 ， 并 确保 它 
不 能 被 蓉 改 。 事 实 上 ， 比 特 币 块 并 不 按 固 定时 间 表 产生 。 在 比特 币 系 
统 里 ， 平 均 每 10 分 钟 产 生 一 个 新 的 块 ， 单 相 邻 的 两 个 块 的 时 间 间 隔 会 
有 较 大 的 差别 。 


比特 币 从 根本 上 融合 了 用 数学 计算 来 控制 新 币 的 产生 和 用 安全 的 
时 间 礁 来 记录 交易 信息 并 防止 双重 支付 这 两 种 思路 。 在 比特 币 之 前 ， 
有 人 曾 提 出 过 ， 不 这 么 成 熟 但 也 融合 了 这 两 种 思路 的 方案 。 比 如 ， 戴 
伟 (Wei Dai) 在 1998 年 提出 的 B 币 (b-money) ， 任 何人 都 可 以 通过 一 
个 类 似 于 哈 希 现金 的 系统 创造 虚拟 货币 。 它 跟 比 特 币 类 似 ， 也 有 一 个 
点 对 点 网 络 。 每 个 节点 维护 一 个 数据 库 账 本 ， 但 它 不 同 于 比特 币 的 区 
块 链 ， 并 不 记录 全 部 交易 信息 。 每 一 个 节点 都 有 它 自 认 为 是 准确 的 记 
录 每 个 人 账户 余额 的 账本 。 


尼克 :萨博 (Nick Szabo) 还 提出 一 个 类 似 的 方案 ， 名 为 比特 黄金 
(Bitgold) 。 了 萨博 宣称 他 早 在 1998 年 就 有 了 创建 比特 黄金 的 想法 ， 但 
直到 2005 年 才 在 博客 上 公开 发 布 。 我 之 所 以 提 这 件 事 ， 是 因为 《纽约 
上 时报》 记者 纳 了 萨 尼 尔 : 波 普 (Nathaniel Popper) 曾 写 过 一 本 关于 比特 币 
历史 的 不 错 的 书 ， 他 发 现 ， 公 开发 布 比特 黄 金 的 那 篇 博文 的 发 表 时 间 
被 修改 过 ， 改 成 了 中 本 聪 正式 发 布 比特 币 之 后 的 两 个 月 。 他 跟 许 多 观 
察 者 一 样 ， 认 为 院 博 束 是 中 本 聪 ， 即 使 村 博 否 认 。 他 认为 ， 陕 博 修改 


博文 发 表 时 间 就 十 证 据 ， 这 样 ， 后 者 束 可 以 掩盖 目 己 在 比特 币 发 布 之 
前 就 已 经 发 明了 比特 黄金 这 一 事实 。 


但 这 一 证 据 并 不 可 信 。 仔 细 阅 读 博 文 ， 你 吏 会 发 现 ， 防 博 明 确 表 
示 目 己 在 1998 年 束 有 了 比特 黄金 的 想法 。 他 没有 试 独 更 改 这 些 时 间 。 
更 为 合理 的 解释 是 ， 比 特 币 开始 流行 后 ， 他 把 那 篇 博文 置顶 ， 这 样 ， 
人 人们 束 可 以 看 到 他 在 比特 币 之 前 残 有 了 类 似 的 构想 。 


比特 币 与 B 币 和 比特 黄金 有 很 多 重要 的 不 同 之 处 。B 币 和 比特 黄金 
通过 数学 计算 直接 创造 货币 。 任 何人 都 可 以 解 题 ， 答 案 本 号 吏 是 货 
币 。 但 在 比特 币 体 系 中 ， 解 决 数 学 计算 并 不 构成 货币 ， 只 是 确保 区 块 
链 安 全 ， 间 接地 在 有 限时 间 里 创造 新 货币 。 此 外 ，B 币 和 比特 黄金 靠 时 
间 戳 给 货币 的 创造 和 转账 等 名。 但 比特 币 不 需要 被 认证 过 的 时 间 惟 ， 
它 只 是 用 时 间 惟 来 保存 区 块 和 交易 的 先后 顺序 。 


最 后 ， 如 末 服 务 器 和 市 点 对 数据 库 账 本 的 记录 不 符 ，B 币 和 比特 黄 
金 并 没有 提供 一 个 明确 的 解决 方案 。 两 位 发 明 人 所 著 文 草 上 暗示 的 解决 
方案 是 ， 由 大 多 数 人 来 决定 到 奈 哪 个 是 对 的 。 但 是 ， 因 为 任何 人 痢 可 
以 用 不 同 映 份 设置 一 个 或 一 百 个 太 护 ， 这 个 解决 方案 并 不 可 靠 ， 除 非 
有 一 个 管理 员 来 监管 网 络 入 口 。 比 符 币 则 恰恰 相反 ， 如 末 攻 击 者 想 更 
改 数 据 ， 他 必须 要 比 其 他 所 有 人 加 起 来 的 解决 数学 计算 的 速度 还 要 
快 。 这 样 束 保 证 了 安全 性 ， 还 可 以 让 我 们 量化 直观 地 看 到 整个 系统 


多 安全 。 


B 币 和 比特 黄金 都 不 是 正式 发 布 的 体系 ，B 币 是 在 一 篇 发 表 在 邮件 
组 的 文章 中 提出 的 ， 比 特 黄金 则 是 在 几 篇 博文 中 提出 的 。 二 者 未 被 真 
正 实施 和 广泛 应 用 。 不 像 比特 币 日 度 书 ， 它 们 也 没有 给 出 详细 设 定 或 
程序 源 代码 。 二 者 都 涉及 可 能 无 解 的 铬 干 问题 。 其 一 是 前 文 讨论 过 的 
数据 库 账本 不 一 致 的 问题 。 男 外 的 问题 是 ， 如 何 设置 创造 新 货币 的 数 
学 运算 的 难度 ? 具有 同等 运算 能 力 的 硬件 随 着 时 间 的 推移 越 来 越 便 
宜 ， 针 对 这 一 问题 ， 比 特 币 采 用 了 周期 性 目 动 调节 运算 难度 的 机 制 。B 


币 和 比特 黄金 没有 这 样 的 机 制 ， 因 此 ， 它 们 的 货币 会 因为 创造 难度 降 
低 而 贬值 。 


天 于 中 本 聪 的 猜测 


你 大 概 知道 ， 中 本 聪 是 比特 币 创造 者 的 化 名 。 他 的 真实 号 份 依然 
征 一 个 谜团 ， 但 在 比特 币 导 期 ， 他 还 是 比较 活跃 的 。 我 们 可 以 从 他 留 
下 的 这 些 印记 中 ， 探 讨 一 下 他 本 人 ， 比 如 说 他 是 从 什么 时 候 开 始 研究 
比特 币 的 ? 我 们 谈论 过 的 那些 早期 构想 对 他 有 什么 影响 ? 是 什么 在 激 
励 者 他 ? 


中 本 聪 说 他 从 2007 年 5 月 左右 开始 编写 比特 币 。 他 选择 匿名 并 不 表 
示 他 会 在 这 一 点 事情 上 说 说 ， 因 此 ， 我 姑且 相信 他 所 说 的 。 他 于 2008 
年 8 月 注册 域名 bitcoin.org。 同 时 ， 他 开始 给 一 些 他 认为 可 能 会 对 比特 币 
感 兴趣 的 人 发 送 邮 件 ， 阐 述 他 的 想法 。2008 年 10 月 ， 他 公开 发 表 日 皮 
书 ， 解 释 比特 币 协 议 。 此 后 不 久 ， 他 叉 公 开 了 比特 币 的 源 代码 。 随 后 
两 年 ， 他 在 论坛 上 发 布 信息 ， 与 许多 人 写 邮件 交流 ， 回 答 人 们 的 天 
切 。 在 编程 方面 ， 他 对 源 代码 进行 了 多 次 修改 。 他 和 几 位 开发 人 员 一 
同 维护 源 代码 ， 修 复 补 丁 。2010 年 11 月 ， 别 人 逐渐 开始 接手 比特 币 项 
目 ， 而 他 却 不 再 出 现 。 


我 用 “他 ?来 表示 中 本 聪 ， 但 其 实 我 并 不 知道 中 本 聪 到 展 是 男性 还 是 
女性 ， 只 是 因为 中 本 聪 是 个 男性 名 字 而 已 。 此 外 ， 我 认为 中 本 聪 是 一 
个 人 ， 而 非 一 个 团体 。 原 因 是 ， 和 仔细 研究 中 本 聪 所 有 的 网 络 交 流 记 
孙 ， 在 两 年 的 时 间 里 ， 一 个 团队 里 的 多 个 人 共用 一 个 账号 回复 邮件 ， 
修改 代码 ， 保 持 风 格 、 语 气 和 内 容 一 致 ， 这 简直 难以 想象 。 更 为 合理 
的 解释 是 ， 展 现在 我 们 面前 的 中 本 陪 的 所 有 行为 是 由 同一 个 人 完成 
有 网 


此 外 ， 从 他 的 文章 和 所 打 的 补丁 来 看 ， 这 个 人 完全 了 解 比特 币 的 
整套 代码 体系 和 设计 细节 。 我 们 有 理由 相信 源 代码 和 白皮书 由 同一 个 
人 所 写 。 最 后 ， 可 能 在 一 开始 有 人 帮助 过 中 本 聪 。 虽 然 如 此 ， 比 特 币 
正式 发 布 之 后 ， 我 们 可 以 看 到 ， 中 本 聪 在 得 到 帮助 之 后 ， 会 很 快 对 其 
他 有 页 献 的 帮助 者 表示 感谢 。 从 这 所 性 格 来 看 ， 他 应 该 不 会 在 接受 别 
人 的 帮助 之 后 闭口 不 言 ， 故 意 误 导 人 们 相信 比特 币 是 他 一 个 人 的 作 


口 
HH? 


我 们 可 能 会 想 :“ 中 本 聪 知道 电子 现金 的 历史 吗 ? ”为 更 好 地 弄 清 楚 
这 个 问题 ， 我 们 可 以 看 看 他 在 比特 币 网 站 上 早期 发 布 的 白皮书 里 的 引 
用 和 索引 。 在 白皮书 中 ， 他 引用 了 一 些 基 本 密码 学 和 概率 论 的 论文 ， 
也 引用 了 我 们 之 前 所 讨论 的 时 间 玲 。 因 为 比特 币 里 的 区 块 链 与 他 所 引 
用 的 内 容 相似 度 极 高 ， 自 然而 然 地 ， 我 们 会 认为 他 有 参考 别人 的 区 块 
链 设 计 。 他 还 引用 了 哈 希 现金 ， 它 的 数学 计算 与 比特 币 的 非 第 类 似 。 
此 外 ， 他 还 引用 了 B 币 。 随 后 ， 他 文 在 网 站 上 添加 了 比特 黄金 和 一 个 由 
哈 尔 耸 尼 (Hal Finney) 设计 的 重复 利用 计算 数学 方案 的 参考 索引 。 


但 是 ， 从 与 中 本 聪 有 早期 交流 的 人 公开 的 邮件 来 看 ， 我 们 发 现 ，B 
币 是 在 亚当 : 贝 殉 的 提议 下 才 加 入 比特 币 体系 的 。 随 后 ， 中 本 聪 给 B 币 
的 创造 者 戴 伟 发 邮件 。 从 邮件 中 可 以 看 出 ， 是 戴 伟 告诉 了 他 比特 黄 
金 。 因 此 ， 激 发 中 本 聪 创造 比特 币 的 ， 并 不 一 定 是 这 些 方 案 。 他 之 后 
与 哈 尔 ' 分 尼 有 过 多 封 往来 邮件 ， 这 可 以 解释 他 为 什么 在 网 站 上 或 者 其 
他 地 方 引用 了 分 尼 的 成 采 。 


基于 上 述 信息 ， 比 较 可 信 的 推 采 是， 在 创建 比特 币 体 系 时 ， 中 本 
聪 只 知道 电子 现金 、 哈 希 现金 和 时 间 崔 ， 认 为 只 有 这 些 与 比特 币 征 相 
天 的 。 然 而 ， 等 他 知道 B 币 和 比特 黄金 的 时 候 ， 他 才 发 现 ， 这 两 个 也 与 
比特 币 有 很 大 关系 。2010 年 ， 维 基 百 科 主 编 认 为 比特 币 不 值 一 提 ， 准 
备 删 除 比 特 币 词 条 。 中 本 聪 跟 改 外 一 些 人 讨论 如 何 编写 比特 币 词 条 ， 
好 让 维基 百科 接受 它 。 中 本 聪 建议 这 样 描述 比特 币 : “比特 币 是 戴 伟 在 
1998 年 在 网 络 朋克 中 所 提 到 的 B 币 构想 和 尼克 ' 联 博 提 出 的 比特 黄金 的 


具体 实现 。? 可 见 ， 中 本 聪 这 时 确实 把 比特 币 看 成 二 者 的 延伸 或 具体 实 
施 ， 以 便 更 好 地 解释 比特 币 的 工作 原理 。 


那么 ， 中 本 聪 创建 比特 币 时 ， 他 知道 其 他 体系 吗 ? 比如 我 们 提 过 
的 错 姆 的 电子 现金 和 信用 卡 方案 。 这 个 很 难 讲 。 我 们 找 不 到 他 了 解 它 
们 的 证 据 ， 但 也 有 可 能 他 虽然 知道 ， 但 并 未 提 太 它们 ， 因 为 它们 与 比 
等 币 无 关 。 比 特 币 采 用 了 完全 不 同 的 去 中 心 模式 ， 没 有 理由 去 所 已 经 
失败 了 的 中 心 化 体系 。 


中 本 聪 目 己 也 表明 了 这 一 点 。 他 在 发 表 在 比特 币 论 坛 里 的 一 篇 文 
章 里 ， 曾 粗略 地 提 了 一 下 乔 姆 的 电子 现金 体系 。 他 当时 正在 写 一 篇 关 
于 opencoin.org 的 文章 ， 他 说 他 们 似乎 在 “讨论 老 一 套 的 乔 姆 中 心 造 币 体 
系 ， 但 也 许 是 因为 他 们 别 无 选择 ， 也 许 他 们 会 对 新 的 方向 感 兴趣 。20 
世纪 90 年 代 以 来 所 有 的 虚拟 货币 公司 全 都 失败 了 ， 这 导致 许多 人 对 这 
一 行业 非常 不 看 好 。 我 希望 ， 人 们 可 以 看 到 ， 这 些 系统 之 所 以 失败 ， 
显然 是 因为 它们 的 中 心 化 控制 这 一 特性 。 我 想 我 们 正在 首次 党 试 建立 
一 个 去 中 心 化 的 非 认 证 系统 。” 从 这 段 话 里 ， 我 们 可 以 清晰 地 了 解 到 中 
本 聪 是 怎么 看 竺 之 前 的 系统 的 ， 特 别 是 ， 他 认为 比特 币 与 它们 是 不 同 
的 。 去 中 心 化 这 一 特性 确实 真正 让 比特 币 从 其 他 虚拟 货币 脱颖而出 。 


中 本 聪 写 下 的 另 一 段 话 暗示 他 不 征 学 术 派 人 士 。 大 多 数学 术 赋 完 
者 完 有 了 构思 ， 然 后 写 下 来 ， 再 把 目 己 的 构思 付 诸 实 施 。 中 本 聪 说 他 
的 方式 截然 相反 : “我 在 建造 比特 币 时 ， 其 实 是 倒 着 来 的 。 我 必须 写 下 
所 有 代码 ， 才 能 使 目 己 相信 我 是 可 以 解决 任何 问题 的 ， 然 后 我 才 写 下 
理论 。 我 认为 我 能 在 写 出 具体 设计 细 市 之 前 整 可 以 公开 代码 。” 


中 本 聪 是 一 个 神秘 的 人 ， 值 得 一 提 的 是 ， 跟 所 有 人 一 样 ， 他 也 会 
犯错 ， 也 无 法 预测 未 来 。 比 特 币 的 源 代 码 和 设计 中 都 存在 很 多 漏洞 和 
瑕 狐 。 例 如 ， 比 特 币 体系 有 一 个 可 以 同 IP 地 址 发 送 比 特 币 的 功能 。 虽 然 
当时 人 们 并 未 发 现 ， 但 现在 看 来 ， 这 一 设计 十 分 糟糕 。 中 本 聪 在 构建 
比特 币 用 途 时 ， 他 主要 侧重 于 比特 币 在 互联 网 上 的 使 用 。 这 当然 是 比 


等 币 的 主要 用 途 ， 但 并 非 唯一 用 途 。 他 从 未 想 过 ， 可 以 去 咖啡 店 用 比 
特 币 付 钱 。 


了 解 了 虚拟 货币 的 历史 之 后 ， 我 们 可 能 还 存在 一 个 疑问 : “为 什么 
中 本 聪 要 匿名 ? ”有 许多 可 能 的 原因 。 自 完 ， 也 许 他 束 古 喜欢 这 样 。 许 
多 小 说 家 部 选择 匿名 ， 像 班 殉 西 (Banksy) 这 样 的 涂鸦 艺术 家 也 一 直 
不 公开 映 份 。 其 实 ， 在 中 本 聪 活跃 的 网 络 朋克 社区 和 密码 学 邮件 组 ， 
大 家 都 普 裔 采用 匿名 方式 发 表 文章 。 


此 外 ， 中 本 聪 选择 匿名 可 能 还 有 法 律 上 的 顾虑 。 目 由 储备 
(Liberty Reserve) 和 电子 黄金 (e-Gold) 这 两 家 美国 公司 都 因为 非法 
洗钱 车 上 了 麻烦 。2006 年 ， 自 由 储备 的 创始 人 之 一 担心 被 指控 洗钱 ， 
逃离 美国 。 电 子 黄金 的 创始 人 一 直 待 在 美国 ， 但 其 中 一 位 创始 人 被 指 
控 洗 钱 并 最 后 认罪 。 这 一 事件 正好 发 生 在 中 本 聪 创建 比特 币 网 站 并 公 
开 讨 论 比特 币 的 前 和 儿 。 纵 然 如 此 ， 许 多 人 都 创立 过 虚拟 货币 系统 ， 没 
有 人 因为 法 律 顾虑 而 选择 匿名 。 所 以 很 难说 这 到 底 是 不 是 他 选择 匿名 
的 根本 原因 。 


值得 注意 的 是 ， 我 们 之 前 提 过 ， 电 子 现金 的 一 些 技术 是 有 专利 保 
护 的 。 网 络 朋克 运动 担心 实施 电子 现金 系统 会 侵犯 这 些 专利 。 事 实 
上 ， 有 人 曾 在 网 络 朋克 邮件 组 发 表 文 章 ， 建 议 由 一 群 匿名 的 程序 员 来 
架设 电子 现金 系统 ， 这 样 ， 即 使 侵权 ， 也 查 不 出 是 谁 。 但 是 ， 比 特 币 
的 设计 与 电子 现金 的 专利 老 别 很 大 ， 很 难 判定 比特 币 侵犯 了 它 的 专利 
权 ， 也 许 中 本 聪 选择 匿名 只 是 比较 谍 愤 。 叉 或 者 ， 他 是 受到 网 络 朋克 
社区 里 程序 员 匿 名 的 启发 。 


许多 人 认为 中 本 聪 选择 匿名 是 出 于 个 人 安全 方面 的 考虑 。 众 所 周 
知 ， 他 早期 时 挖 矿 获得 大 量 比特 币 ， 时 至 今日 ， 比 特 币 的 巨大 成 功 也 
就 给 他 带 来 了 巨额 财富 。 我 认为 这 个 原因 是 可 能 的 。 毕 竟 ， 选 择 匿 名 
不 是 一 时 的 决定 ， 而 是 一 贯 的 风格 。 尽 管 如 此 ， 这 可 能 还 不 是 他 一 开 
始 束 选择 匿名 的 原因 。 当 他 首次 使 用 中 本 聪 这 个 化 名 时 ， 他 还 没有 发 


布 白皮书 和 源 代 码 ， 很 难 想象 他 那 时 就 能 够 预测 到 比特 币 后 来 会 取得 
如 此 巨大 的 成 功 。 其 实 ， 在 早期 ， 中 本 聪 对 比特 币 的 未 来 持 乐 观 且 床 
慎 的 态度 。 他 明白 许多 之 前 的 尝试 都 失败 了 ， 比 特 币 最 终 也 可 能 
Ns 
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与 之 前 的 失败 和 演 试 相 比 ， 比 特 币 的 成 功 信人 瞩目 。 它 有 许多 优秀 
的 创新 ， 例 如 区 块 链 和 去 中 心 化 实现 用 户 之 间 直 接 交 易 的 模式 等 。 它 
能 够 有 效 地 确保 用 户 的 匿名 性 ， 虽 然 还 做 得 不 够 完美 。 我 们 将 在 第 6 对 
详细 了 解 保密 性 。 比 特 币 的 保密 性 从 某 种 意义 上 来 说 做 得 不 如 数字 现 
金 那么 好 ， 但 从 另 一 个 角度 来 看 ， 它 的 保密 性 要 更 强 。 因 为 在 数字 现 
金 系统 ， 只 有 消费 者 能 够 匿名 ， 丙 家 则 不 能 。 比 特 币 为 消费 者 和 商家 

(不 管 是 消费 者 还 是 商家 ) 提供 了 同等 程度 的 保密 性 。 


把 比特 币 和 我 们 之 前 讨论 过 的 虚拟 货币 系统 进行 对 比 ， 我 学 习 到 
的 经 验 教 训 是 ， 第 一 ， 遇 到 困难 时 不 要 轻易 放弃 。20 年 来 ， 人 们 在 开 
发 虚拟 货币 的 道路 上 一 直 失 败 ， 但 这 并 不 意味 着 永远 开发 不 出 一 套 成 
功 的 体系 。 第 二 ， 要 愿意 折 中 妥协。 如 果 你 想 把 保密 性 和 去 中 心 化 功 
能 做 到 完美 和 极 怪 ， 可 能 就 必须 牺牲 其 他 的 功能 。 回 顾 比 特 币 的 发 展 
史 ， 它 找到 了 一 个 完美 的 平衡 点 。 它 的 保密 性 不 够 完美 ， 需 要 用 户 连 
接 到 点 对 点 的 网 络 ， 但 用 户 愿意 接受 这 样 的 设 定 。 


最 后 ， 众 志 成 城 。 比 特 币 吸引 了 一 批 具 有 激情 的 用 户 和 开发 者 ， 
他 们 愿意 为 开源 技术 出 一 分 力 ， 这 与 之 前 由 公司 开发 的 虚拟 货币 很 不 
一 样 ， 后 者 的 支持 者 只 是 公司 内 部 员工 而 已 。 比 特 币 如 今 的 成 功 很 大 
一 部 分 是 因为 它 拥有 一 个 庞大 的 生机 动 动 的 支持 群体 ， 他 们 共同 推动 
科 拉 的 发 展 ， 招 徕 客户 ， 说 服 商 家 采用 它 。 
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[1] Mondex 是 一 种 灵活 的 电子 现金 ， 
最 初 是 英国 西 敏 寺 银行 开发 的 电子 钱包 ， 


部 半 
还 
必 


第 1 章 
密码 学 及 加 密 货 币 概 述 


所 有 货币 都 需要 通过 某 种 方式 控制 供给 ， 并 需要 实施 各 种 安全 属 
性 以 防止 其 统 行 为 发 生 。 吏 法 定货 币 而 言 ， 中 央 银 行 这 样 的 机 构 控 制 
货币 供给 ， 并 在 实体 货币 上 加 上 防伪 标识 ， 这 些 安 全 属性 提升 了 攻击 
货币 的 门槛 和 难度 ， 但 并 非 不 可 能 仿造。 最 终 ， 执 法 部 门 仍 需要 介 
入 ， 以 防止 货币 系统 规则 受到 破坏 。 


加 密 数 字 货 币 也 必须 采取 安全 措施 ， 以 防御 破坏 系统 状态 的 行 
为 ， 同 时 加 密 数 字 货 币 还 需要 防止 “ 混 消 ”， 即 对 不 同 的 人 说 出 相互 矛盾 
的 话 。 例 如 ， 如 果 爱 丽 丝 (Alice) 让 鲍 过 (Bob) 确信 她 向 他 支付 了 一 
个 数字 币 ， 她 就 不 能 再 说 服 卡 罗 尔 (Carol) ， 也 给 她 文 付 同一 个 数字 
币 。 加 密 数 字 货 币 与 法 定货 币 的 不 同 在 于 ， 其 安全 规则 需要 完全 通过 
技术 手段 实现 ， 而 非 依赖 于 中 央 机 构 。 


顾名思义 ， 加 密 货币 着 力 采用 密码 技术 。 密 码 学 提供 一 个 将 加 密 
货币 体系 规则 编码 到 系统 本 号 的 机 制 ， 我 们 不 但 可 以 利用 密码 学 防止 
对 系统 的 干扰 ， 并 且 能 够 避免 宴 请 ， 也 能 用 其 将 新 货币 单位 创造 规则 
编码 到 数学 协议 中 。 为 了 能 够 深刻 理解 加 密 数 字 货 币 系 统 ， 我 们 需要 
首先 探究 该 系统 所 依赖 的 密码 学 基础 。 


密码 学 是 一 个 高 深 的 学 术 领 域 ， 用 到 了 很 多 不 被 大 众 所 知 的 数学 
理论 ， 并 且 其 理论 也 比较 复杂 。 滁 运 的 是 ， 比 特 币 只 运用 到 了 密码 学 
中 少量 相对 较为 浅显 的 一 些 理论 。 在 本 章 中 ， 我 们 会 特别 讨论 一 下 密 
码 学 中 的 哈 希 算法 (Hash) 和 数字 签名 (digital signature) 技术 ， 这 两 
个 基本 概念 对 构建 一 个 加 密 数 字 货 币 系 统 非常 关键 。 在 后 面 的 章 市 
中 ， 我 们 会 介绍 一 些 更 复杂 的 密码 学 理论 ， 例 如 零 知 识 验证 (zero- 
knowledge proof) , 这 个 概念 被 应 用 到 了 对 比特 币 网 络 的 拓展 和 改进 之 
中 o 


在 学 习 了 必要 的 密码 学 基础 之 后 ， 我 们 将 讨论 如 何 用 这 些 密码 学 
基础 构建 一 个 加 密 数 字 货 币 系 统 。 在 本 章 末 尾 ， 我 们 会 列举 一 些 简 单 
的 加 密 货币 案例 ， 来 曾 明 我 们 在 设计 中 明 到 的 挑战 。 


1.1 密码 学 哈 希 函数 


我 们 需要 理解 的 第 一 个 密码 学 的 基础 知识 是 密码 学 哈 希 函 数 ， 
哈 希 函数 是 一 个 数学 函数 ， 具 有 以 下 三 个 特性 : 


e 其 输入 可 为 任意 大 小 的 字符 串 。 

e 瑟 产 生 固定 大 小 的 输出 。 为 使 本 章 讨论 更 具体 ， 我 们 假设 输 
出 值 大 小 为 256 人 位， 但是， 我们 的 讨论 适用 于 任意 规模 的 输出 ， 只 
要 其 足够 大 。 

。 它 能 进行 有 效 计算 ， 简 单 来 说 就 是 对 于 特定 的 输入 字符 串 ， 
在 合理 时 间 内 ， 我 们 可 以 算出 哈 布 函数 的 输出 。 更 准确 地 说 ， 对 应 
n 位 的 字符 串 ， 其 哈 希 值 计算 的 复杂 度 为 O(n) 。 


这 些 特性 定义 了 一 般 哈 硕 函 数 ， 以 这 个 函数 为 基础 ， 我 们 可 以 创 
建 数据 结构 ， 例 如 哈 希 表 。 我 们 将 只 专注 于 加 密 的 哈 希 函数 ， 要 使 哈 
硕 函 数 达 到 密码 安全 ， 我 们 要 求 其 具有 以 下 三 个 附加 特性 : (1) 碰撞 
阻力 (collision-resistance) ; (2) 隐秘 性 \hiding) ; (3) 谜 题 友好 
(puzzle-friendliness) 。 


我 们 会 仔细 研究 这 些 特性 ， 并 会 逐步 阐释 我 们 为 什么 需要 这 样 的 
责 数 。 学 习 过 密码 学 的 读者 可 能 会 注意 到 ， 我 们 这 里 对 于 了 哈 硕 函数 的 
论述 与 一 般 的 密码 学 课程 会 有 所 不 同 ， 特 别 是 关于 文 题 友好 。 在 一 般 
密码 学 中 ， 谜 题 友 好 并 非 加 密 的 哈 希 函数 的 一 般 要 求 ， 却 对 加 密 数字 
货币 这 一 特性 非常 有 用 。 


特性 1: 碰撞 阻力 


加 密 的 哈 希 函数 的 第 一 个 特性 是 它 要 具有 碰撞 阻力 。 这 里 的 碰撞 
指 对 于 两 个 不 同 的 输入 ， 产 生 相 同 的 输出 。 如 果 对 于 哈 希 了 范 数 H(:)， 没 
有 人 能 够 找到 碰撞 ， 我 们 则 称 该 函数 具有 碰撞 阻力 ( 见 图 1.1) 。 即 : 


碰撞 阻力 如 果 无 法 找到 两 个 值 ， x 和 y，xzy， 而 H(x)=H(y)， 
则 称 哈 希 函数 H 具 有 倍 挤 阻 力 。 


HL (mj eH ly 


Sa ee 
/1 里 


图 1.1 哈 希 磁 擅 
注 : x 和 hy 分 另 别 是 不 同 输入 ， 当 作为 哈 希 函数 的 输入 时 ， 会 产生 相同 的 输出 。 这 时 我 们 就 说 这 个 
磁 撞 的 。 


注意 ， 我 们 说 没 人 能 找到 碰撞 ， 并 不 表示 不 存在 人 页 撞 。 事 实 上 ， 
a 计数 论证 (counting argument) ， 我 们 可 以 证 明 磁 撞 的 确 存 
在 。 哈 锅 芳 数 的 输入 空间 包含 所 有 长 度 的 任意 字符 串 ， 但 输出 空间 则 
只 包含 特定 固定 长 度 的 字符 串 。 因 为 输入 空间 比 输 出 空间 大 (输入 空 
间 是 无 限 的 ， 而 输出 空间 是 有 限 的 ) ， 一 定 会 有 输入 字符 串 映 射 到 相 
同 的 输出 字符 串 。 实 际 上 ， 根 据 饮 巢 原 理 (Pigeonhole Principle) ， 我 
们 可 以 得 出 ， 必 然 会 有 大 量 可 能 的 输入 被 映射 到 任意 特定 输出 ( 见 图 
1.2) 


可 能 的 输出 


| 


图 1.2 必然 的 碰撞 
注 : 因为 输入 的 数量 超过 输出 的 数量 ， 我 们 可 以 确定 : 


7 证 帅 


个 输出 肯定 对 应 多 个 输入 。 


而 更 糟 料 的 是 ， 对 于 加 密 的 哈 希 函数 ， 我 们 虽然 说 应 该 找 不 到 碰 
撞 ， 但 有 些 方法 是 能 保证 找到 合 撞 的 。 考 虑 以 下 对 应 于 一 个 256 位 输出 
大 小 的 哈 希 函数 ， 选 择 2“6 +1 个 不 同 数值 ， 计 算 每 个 数 的 哈 硕 值 ， 并 
仿 查 生 否 有 两 个 相等 的 输出 。 因 为 我 们 这 里 选择 的 输入 多 于 输出 ， 
此 在 应 用 哈 布 函数 时 ， 一 些 数 对 必 将 产生 而 接 。 


使 用 上 述 方 法 一 定 能 找到 碰撞 。 但 如 采 我 们 随机 性 地 选择 输入 ， 
并 计算 哈 希 值 ， 我 们 在 检验 第 2236 +1 个 输入 之 前 便 很 可 能 找到 碰撞 。 
实际 上 ， 如 果 我 们 随机 选择 2139 +1 个 输入 值 ， 找 到 至 少 两 个 等 同 哈 希 
值 的 概率 为 99.8%。 仪 仅 通 过 检验 可 能 输出 数量 的 平方 根 次 数 ， 便 大 体 
能 找到 碰撞 ， 这 一 事实 在 概率 学 中 被 称 为 是 生日 迟 论 (birthday 
paradox) [1] 。 


这 个 碰撞 检测 算法 对 每 个 哈 希 函数 部 有 效 ， 但 是 它 的 问题 是 其 计 
算 需 要 花 很 长 很 长 时 间 才 能 完成 。 对 于 一 个 256 位 输出 的 哈 希 函数 来 
说 ， 最 坏 的 情况 是 你 需要 进行 226 +1 次 哈 希 函数 计算 ， 平 均 次 数 为 2128 
次 ， 这 简直 是 一 个 天 文 数字 一 一 如 采 一 人 台电 脑 每 秒 计算 10 000 个 哈 硕 


值 ， 计 算 2128 个 哈 希 值 ， 需 要 花 10”” 多 年 时 间 ! 换个 角度 ， 我 们 可 以 
说 ， 如 采 人 类 制造 的 每 台电 脑 在 整个 宇宙 起 源 时 便 开 始 计算 ， 到 目前 
为 止 ， 它 们 找到 碰撞 的 概率 仍然 无 穷 小 ， 比 下 两 秒 钟 地 球 将 被 大 陨石 
摊 毁 的 概率 还 要 小 得 多 。 


因此 ， 为 了 寻找 一 个 任意 的 哈 布 函数 的 碰撞 ， 我 们 只 是 有 了 一 个 
一 般 ， 但 并 不 实用 的 算法 。 一 个 更 艰深 的 问题 是 :有 没有 其 他 的 方 
法 ， 可 以 用 于 对 于 某 一 特定 哈 希 函数 找到 碰撞 ? 也 束 是 说 ， 虽 然 一 般 
的 磁 撞 测试 算法 不 适用 ， 但 仍 可 能 有 其 他 的 算法 ， 可 以 有 效 地 找到 茶 
个 哈 希 函数 的 碰撞 。 


以 下 面 的 哈 希 函数 为 例 : 


H(x)=x mod 22°6 


这 个 函数 接受 任何 长 度 的 输入 ， 产 生 一 个 固定 大 小 输出 (256 
位 ) ， 且 能 进行 有 效 计 算 ， 因 此 符合 我 们 对 哈 希 函数 的 要 求 。 但 是 对 
于 这 个 函数 ， 我 们 确实 具备 一 个 有 效 的 能 够 寻找 碰撞 的 方法 。 注 和 意 ， 
这 个 函数 仅 返 回 输入 的 最 后 256 位 ， 因 此 ， 数 值 3 和 3+2“。 就 构成 了 碰 
撞 [2] 。 这 个 简单 的 例子 表明 ， 虽 然 我 们 的 一 般 碰 撞 测 试 方法 在 实践 中 
不 可 行 ， 但 至 少 对 于 某 些 哈 布 钞 数 ， 存 在 有 效 的 测试 碰 接 的 方法 。 


但 对 于 某 些 哈 希 函数 ， 我 们 无 法 确认 识别 碰撞 的 有 效 方法 是 否 存 
在 ， 我 们 只 是 怀疑 这 些 函 数 具 有 防 碰撞 特性 ， 但 是 我 们 已 经 证 明 ， 世 
界 上 没有 哈 希 函数 具有 防 碰撞 特性 。 我 们 实践 中 依赖 的 加 密 的 哈 希 男 
数 仅 仅 是 人 们 经 过 不 懈 努 力 之 后 暂 未 成 功 找 到 人 磁 撞 的 函数 。 因 此 ， 我 
们 选择 相信 那些 加 密 的 哈 希 函 数 具 有 哈 希 阻力 〈 在 某 些 情况 下 ， 如 之 
前 的 MD5 哈 希 函 数 ， 在 多 年 的 努力 之 后 最 终 找 到 了 碰撞 ， 导 致 该 国 数 
在 实践 中 被 逐渐 淘汰 ， 最 终 被 弃 用 ) 。 


应 用 : 信息 摘要 


现在 我 们 知道 什么 是 碰 扩 阻力 了 ， 我 们 目 然 会 问 : 碰撞 阻力 有 什 
么 用 途 ? 以 下 就 是 一 个 应 用 : 哈 希 函 数 H 具 有 磁 擅 阻力 ，x 和 y 是 两 个 
不 同 的 输入 ， 那 么 可 以 假设 它们 的 哈 希 函数 Ho) 和 H(y) 也 不 同一 一 如 末 
已 知 x 和 y 不 同 ， 但 哈 希 值 相同 ， 那 么 H 具 有 碰撞 阻力 的 假设 就 不 成 立 
了 。 


这 个 论证 使 我 们 可 以 将 哈 希 输出 作为 信息 摘要 (message 
digest) 。 以 SecureBox 为 例 ，SecureBox 是 一 个 允许 用 户 上 传 文件 ， 并 
傈 证 文件 被 完整 下 载 的 线 上 文件 存储 系统 。 假 设 爱 丽 丝 上 传 了 很 大 的 
文件 ， 并 希望 能 够 在 之 后 下 载 时 确认 她 下 载 的 文件 与 她 上 传 的 文件 相 
同 。 一 种 方法 是 将 整个 文件 进行 本 地 存储 ， 并 直接 将 其 与 下 载 文件 对 
比 。 如 有 果 这 样 可 行 ， 那 么 将 文件 上 传 便 显 得 宫 无 意义 ， 人 倘若 爱丽 丝 需 
要 使 用 本 地 文件 副本 以 你 证 其 完整 性 ， 她 可 以 直接 使 用 本 地 副本 。 


无 健 撞 哈 希 函数 为 这 个 问题 近 供 了 傈 单 有 效 的 解决 方法 ， 爱 丽 丝 
只 需要 记 住 原 文件 的 哈 希 值 ， 从 SecureBox 下 载 文件 后 ， 她 可 以 计算 下 
载 文件 的 哈 希 值 ， 并 与 原文 件 哈 布 值 进行 对 比 。 如 采 哈 布 值 相 同 ， 那 
么 爱丽 丝 可 以 说 该 文件 整 是 她 上 传 的 那 一 个 ， 但 是 如 果 不 同 ， 她 则 可 
以 确定 文件 被 破坏 了 。 记 录 哈 硕 值 可 以 帮助 爱丽 丝 检测 文件 在 传输 过 
程 中 ， 或 在 SecureBox 服 务 右 上 有 是 否 产 生 了 意外 损坏 ， 或 者 检测 文件 是 
否 受到 服务 器 的 著 意 修改 。 保 证 主体 不 受 其 他 实体 的 恶意 行为 侵害 ， 
这 正 是 密码 学 的 核心 。 


这 里 的 哈 希 函数 对 于 一 个 信息 生成 固定 长 度 的 摘要 ， 或 生成 了 简 
明 总 结 ， 这 为 我 们 提供 了 一 种 记 住 之 前 所 见 事物 ， 并 在 今后 认 出 这 些 
事物 的 有 效 方法 。 虽 然 整 个 文件 可 能 非 第 大 ， 和 存储 规 柑 达 数 G， 但 其 哈 
希 值 的 长 度 固 定 。 例 如 ， 哈 布 函 数 为 256 位 。 这 样 做 ， 极 大 地 降低 了 存 
储 要求 。 在 本 章 后 面 及 整 本 书 中 ， 我 们 都 会 看 到 哈 希 作为 信息 摘要 的 
应 用 。 


等 性 2: 隐秘 性 


我 们 希望 哈 希 函数 拥有 的 第 二 个 特性 是 其 隐秘 性 。 隐秘 性 保证 ， 
如 采 我 们 仅仅 知道 哈 希 函数 的 输出 y=HCO， 我 们 没有 可 行 的 办 法 算出 
输入 值 x。 问 题 征 ， 上 述 的 表示 形式 不 一 定 生 正确 的 。 考 虑 以 下 简单 的 
例子 : 我 们 做 一 个 抛 人 硬币 的 实验 ， 如 果 抛 硬币 结 末 为 上 正面， 我 们 会 后 
布 字符 串 哈 和 希 为 “正面 >， 如 有 条 结 有 末 为 反面 ， 我 们 会 宣布 字符 串 哈 硕 
为 “反面 ”。 


然后 我 们 问 我 们 的 对 手 ， 在 他 没有 见 a 到 抛 硬 币 ， 而 只 见 到 哈 希 函 
数 的 输出 的 前 提 下 说 出 哈 希 函数 的 输入 字符 串 (很 快 我 们 就 知道 为 什 
么 要 玩 这 个 游戏 了 ) 。 为 了 回答 问题 ， 对 手 会 简单 计算 “正面 * 字 符 串 的 
哈 布 值 及 “反面 ”字符 串 的 哈 布 值 ， 然 后 对 手 便 可 以 知道 他 得 到 的 是 哪 一 
个 。 这 样 ， 只 需要 几 步 ， 对 手 就 能 反 解 出 输入 值 。 


对 手 能 够 猜 出 字符 串 ， 这 是 因为 x 只 有 两 个 可 能 ， 他 可 以 很 轻易 地 
将 两 个 可 能 对 应 的 哈 希 值 计算 出 来 。 为 了 能 够 实现 隐秘 性 ， 我 们 需要 x 
的 取 值 来 目 一 个 非 第 广 沁 的 集合 ， 也 束 是 说 ， 仪 仅 通 过 竹 试 几 个 特定 
的 x， 束 能 找到 输出 值 的 方式 将 不 会 发 生 了 。 


现在 的 问题 是 :在 类 似 抛 硬 币 的 “正面 *、“ 反 面 ” 实 验 中 ， 如 果 我 们 
想 要 的 反 解 的 输入 值 并 非 来 目 分 散 的 集合 ， 我 们 十 否 还 能 得 到 隐秘 
性 ? 幸运 的 是， 对 于 这 个 问题 答案 是 肯定 的 ! 我 们 其 至 能 够 通过 与 男 
一 个 较为 分 艇 的 输入 进行 结合 ， 而 将 一 个 并 不 分 做 的 输入 进行 隐秘 。 
现在 我 们 可 以 更 精确 地 表示 隐秘 的 含义 了 〈 双 只 线 | 为 连接 符号 ， 代 表 
把 一 系列 事件 、 事 情 等 联系 起 来 ) 。 


隐秘 性 哈 希 画 数 H 具 有 隐秘 性 ， 如 果 : 当 其 输入 r 选 自 一 个 高 
阶 最 小 箭 (high min-entroy) 的 概率 分 布 ， 在 给 定 H (rllx) 条 件 下 
来 确定 x 是 不 可 行 的 。 


在 信息 论 中 ， 最 小 炉 是 用 于 测试 结果 可 预测 性 的 手段 ， 而 高 阶 最 
小 炉 这 个 概念 比较 直观 描述 了 分 布 (如 随机 变量 ) 的 分 散 程度 。 具 体 
来 说 ， 在 从 这 样 分 布 中 取样 时 ， 我 们 将 无 法 判定 取样 的 倾 同 。 举 个 有 具 
体 的 例子 ， 如 果 r 是 从 长 度 为 256 位 的 字符 串 中 随意 选 出 的 ， 那 么 任意 特 
定 字 符 串 被 选中 的 概率 为 2 ， 这 是 一 个 小 到 几乎 可 以 忽略 的 取 值 。 


应 用 : 承诺 


现在 来 看 一 下 隐秘 性 的 应 用 。 有 具体 来 说 ， 我 们 把 想 做 的 事情 称 为 
藉 计 (commitment) 。 这 里 承诺 是 一 个 数字 化 过 程 ， 可 以 类 比 为 以 下 
动作 : 首先 选 定 一 个 数字 ， 将 数字 装 进 信 封 ， 然 后 将 该 信封 放 到 一 个 
人 人 都 看 得 到 的 曙 子 上 。 这 样 做 以 后 ， 可 以 说 你 就 信封 里 的 数字 做 出 
了 承诺 ， 在 打开 信封 前 ， 虽 然 你 已 经 做 出 了 承诺 ， 对 其 他 人 来 说 它 还 
是 秘密 。 在 之 后 ， 你 可 以 打开 信封 ,来 展示 承诺 的 数值 。 


承诺 协议 一 个 承诺 协议 方案 由 两 个 算法 构成 : 

e com:=commit(msg, nonce)， 承 诺 函 数 将 信息 (msg) 和 一 个 
临时 随机 数 (nonce) 作为 输入 ， 输 出 就 是 一 个 “承诺 ”。 

e@ verify(com，msg，nonce) ， 验证 函数 将 某 个 承 诡 输出 

(com) 、 临时 随机 数 (nonce) 及 信息 (msg) 作为 输入 ， 如 果 

com==commit(msg, nonce) ， 则 返回 “ 真 ” (true) ; 反之 则 返 
回 “ 假 ” (false) 。 

我 们 要 求 以 下 两 个 安全 特性 要 成 立 : 

e 隐秘 性 : 已 知 com， 没 有 可 行 的 方法 找到 msg。 

e 约束 性 : 没有 可 行 的 办 法 找到 两 组 (msg, nonce) 和 (msg’， 
nonce’) ， msgzmsg” ， 而 commit(msg， nonce)==commit(msg’, 
nonce’)° 


为 了 使 用 承诺 方案 ， 我 们 首先 需要 产生 一 个 临时 随机 数 。 然 后 将 
这 个 临时 随机 数 与 承诺 信息 msg 一 起 代入 承诺 芳 数 ， 计 算 承 诺 函 数 输出 
值 com， 人 然后 公布 该 输出 。 这 个 过 程 歼 如 同 将 封 好 的 信封 放 到 一 个 人 人 
能 看 到 的 昌 上 那样 。 之 后 ， 如 采 我 们 希望 展示 之 前 的 承 庄 值 ， 我 们 首 
先 公布 用 于 产生 承 诡 的 临时 随机 数 ， 并 公布 信息 msg。 此 时 任何 人 都 可 
以 纶 证 这 时 公布 的 msg 是 否 为 之 前 承诺 ， 这 个 阶段 束 如 同 打 开 信 封 。 


对 于 每 次 的 承诺 值 ， 你 都 需要 选择 新 的 随机 值 ， 这 一 点 很 重 
要 。 在 密码 学 中 ， 术 语 nonce 是 指 ， 该 取 值 只 能 使 用 一 次 。 


以 上 两 个 安全 特性 决定 了 这 一 算法 就 如 同 密 封 及 打开 信封 。 第 
一 ， 如 来 仅仅 知道 com， 即 承诺 范 数 的 输出 ， 束 如 同 只 看 信封 并 不 能 得 
到 信息 内 容 ; 第 二 束 古 约束 性 ， 这 束 休 证 了 你 一 旦 承诺 信封 内 的 内 
容 ， 就 不 能 再 改变 主意 。 也 就 是 说 ， 我 们 无 法 找到 两 个 不 同 的 信息 ， 
当 你 在 承诺 一 个 信息 后 ， 而 又 声称 你 承诺 了 男 一 个 信息 。 

我 们 如 何在 承 诸 协议 中 保证 隐秘 性 和 约束 性 这 两 个 性 质 成 立 呢 ? 


在 讨论 这 一 点 之 前 ， 我 们 需要 讨论 如 何 执行 承 庄 方 案 。 我 们 可 以 通过 
使 用 加 密 的 哈 希 函数 来 达到 目的 ， 考 虑 如 下 承诺 协议 实施 方案 : 


commit(msg, nonce):=H(noncel|msg) 

其 中 ，nonce 为 长 度 为 256 位 的 临时 随机 数 。 

为 承诺 一 段 消 息 ， 我 们 百 先 生成 一 个 256 位 的 临时 随机 数 ， 然 后 将 
这 个 临时 随机 数 与 信息 链 授 ， 并 返回 这 个 链接 值 的 哈 希 值 ， 来 作为 承 
诺 输 出 。 为 了 便于 验证 ， 我 们 还 要 设 定 其 他 人 来 计算 一 下 临时 随机 数 
与 信息 链接 之 后 的 哈 希 值 ， 比 对 一 下 计算 结果 是 否 与 承诺 输出 相同 。 

再 来 看 一 下 我 们 的 承诺 方案 要 求 的 两 个 特性 ， 如 末 我 们 将 承诺 和 
验证 换 成 Hnoncel|msg)， 那 么 这 些 特性 束 变 成 : 


e 隐秘 性 : 已 知 Haoncelmsg)， 没 有 可 行 方法 找到 msg 。 
e 约束 性 : 没有 可 行 方法 找到 两 对 (msg, nonce) 和 (msg’， 


nonce’), msgzmsg”， 侧 Hnoncel|lmsg)==H(nonce’||msg’)° 


承诺 的 隐秘 特性 正 是 我 们 要 求 哈 希 函数 要 具备 的 隐秘 性 ， 如 果 将 
一 个 解密 钥匙 选 定 为 256 位 的 随机 值 ， 那 么 由 隐秘 性 得 出 ， 如 果 解 密 钥 
处 与 信息 链接 ， 那 么 仅仅 从 蛤 希 函 数 的 输出 中 恢复 信息 就 十 不 可 行 
的 。 约 束 性 隐 含 在 哈 希 函数 的 碰撞 阻力 特性 中 | ， 如 果 哈 希 画 数 具有 
页 接 阻力 ， 那 么 我 们 将 不 能 找到 不 同 的 msg 及 msg' 值 ， 而 
Honcellmsg)=HOonce'|lmsg])， 如 果 这 种 情况 发 生 ， 将 构成 碰撞 。 


因此 ， 如 采 哈 希 函 数 H 具 有 碰撞 阻力 及 隐秘 性 ， 从 安全 特性 上 来 
讲 ， 这 个 承诺 方案 将 有 效 。 


特性 3: 谜 题 友好 


哈 希 函数 需要 的 第 三 个 安全 特性 为 谜 题 友好 特性 。 这 一 特性 较为 
复杂 ， 我 们 站 先 解 释 该 符 性 的 技术 要 求 ， 然 后 通过 举例 来 阐释 该 符 性 
的 意义 。 


直觉 上 ， 谜 题 友 好 可 以 这 样 解释 ， 如 采 有 一 个 人 想 找到 y 值 所 对 应 
的 输入 ， 假 定 在 输入 集合 中 ， 有 一 部 分 古 非 第 随机 的 ， 那 么 他 将 非常 
难以 求 得 y 值 对 应 的 输入 。 


谜 题 友 好 如 果 对 于 任意 n 位 输出 值 y»， 假 定 k 选 自 高 阶 最 小 炉 分 
布 ， 如 果 无 法 找到 一 个 可 行 的 方法 ， 在 比 2 小 很 多 时 间 内 找到 x， 
人 证 H(k||x)=y 成 立 ， 那 么 我 们 称 蛤 希 函 数 H 为 文 题 友好 。 


应 用 : 搜索 谜 题 


现在 ， 让 我 们 弃 想 一 个 应 用 以 曾 释 谜 题 友 好 特性 的 意义 。 在 这 个 
应 用 中 ， 我 们 将 建立 一 个 搜索 文 题 ， 该 文 题 是 一 个 需要 对 庞大 空间 进 
行 搜 索 ， 才 能 找到 解决 办 法 的 数学 问题 。 该 搜索 文 题 没有 捷径 ， 也 就 
征 谤 除了 搜索 庞大 的 空间 来 进行 求解 ， 别 无 他 法 。 


搜索 谜 题 搜索 谜 题 构成 : 
e 一 个 哈 硕 函数 H 。 
e 从 高 阶 最 小 箭 分 布 选 出 的 一 个 取 值 ，id 《我 们 称 其 为 谜 题 


e 目 祭 集合 Y。 


该 文 题 的 解决 方法 为 一 个 解 ，x， 应 该 满足 以 下 公式 : 


H(id||x)EY 


这 个 直觉 是 : 如 来 H 有 一 个 n 位 输出 ， 那 么 它 的 可 能 取 值 有 2" 个 。 
解决 这 个 谜 题 要 求 找到 一 个 位 于 集合 Y (通常 比 所 有 输出 值 集合 小 很 
多 ) 内 的 输出 值 ，Y 的 大 小 决定 了 谜 题 的 难度 。 如 果 Y 是 所 有 n 位 字符 
串 的 集合 ， 这 个 谜 题 就 襄 无 意义 。 然 而 ， 如 果 Y 只 有 一 个 元 素 ， 那 么 这 
个 谜 题 难度 最 大 ， 谜 题 ID 取 目 高 阶 最 小 精 分 布 ， 这 个 事实 保证 了 求解 
无 捷径 。 反 过 来 ， 如 果 该 ID 的 确定 性 很 咒 ， 那 么 有 人 可 能 会 作 浆 ， 比 
如 通过 使 用 该 ID， 事 先 对 迹 题 进行 求解 。 


如 果 一 个 哈 希 函数 具备 迹 题 友好 特性 ， 这 就 意味 着 对 于 这 个 谜 题 
没有 一 个 解决 策略 ， 比 只 是 随机 地 竹 试 x 取 值 会 更 好 。 因 此 ， 如 末 我 们 
要 把 谜 题 做 成 很 难 解决 是 可 以 的 ， 只 要 我 们 能 用 适合 的 随机 方式 生成 
谜 题 ID。 当 我 们 讨论 比特 币 采 矿 〈 是 一 种 搜索 谜 题 ) 时 会 采用 这 一 思 
路 。 


安全 哈 希 算法 


我 们 讨论 了 哈 希 函数 的 三 个 特性 及 其 相应 的 应 用 。 现 在 ， 让 我 们 
讨论 本 书 中 将 会 大 量 用 到 的 一 个 哈 希 画 数 ， 安 全 哈 希 算法 (Secure 
Hash Algorithm 256， 人 简称 SHA-256) 。 哈 希 函 数 有 很 多 ， 但 SHA-256 是 
一 个 主要 被 比特 币 世界 采用 ， 并 且 效 果 还 很 不 错 的 哈 希 函数 。 


回想 一 下 ， 我 们 要 求 哈 希 函 数 可 以 用 于 任意 长 度 输入 。 举 运 的 
是 ， 只 要 我 们 能 建立 一 个 用 于 固定 长 度 输 入 的 哈 锅 函数 ， 然 后 通过 一 
般 方法 ， 束 可 以 将 接受 固定 长 度 的 哈 希 函数 转化 为 可 接受 任意 长 度 输 
入 的 哈 希 画 数 ， 我 们 称 这 个 转换 过 程 为 MD (Merkle-Damgard) 变换 
，SHA-256 是 采用 这 种 变换 方法 的 常用 哈 希 函数 之 一 。 在 通用 术语 中 ， 
这 种 基础 型 ， 可 用 于 固定 长 度 ， 具 备 碰撞 阻力 的 哈 希 画 数 被 称 为 是 压 
缩 函 数 〈compression function) 。 经 过 验证 ， 如 果 基 本 压缩 画 数 具有 
碰撞 阻力 的 特性 ， 那 么 经 过 转换 而 生成 的 哈 希 函数 也 具有 页 接 阻 力 。 


MD 变换 很 简单 。 比 如 压缩 函数 代入 长 度 为 mm 的 输入 值 ， 并 产生 长 
度 短 一 些 为 n 的 输出 值 。 哈 希 函 数 的 输入 (可 为 任意 大 小 ) 被 分 为 长 度 
为 m-n 的 区 块 。 MD 变换 运作 过 程 如 下 : 将 每 个 区 块 与 之 前 区 块 的 输出 
一 起 代入 压缩 函数 ， 注 意 ， 输 入 长 度 则 变 为 (m-n)+n=m， 也 刚好 就 是 压 
缩 函 数 的 输入 长 度 。 对 于 第 一 个 区 块 而 言 ， 之 前 没有 的 区 块 ， 我 们 需 
要 选取 一 个 初始 向 量 〈 见 图 1.3) 。 每 次 调用 哈 硕 函数 ， 这 个 数字 都 会 
被 骨 一 次 使 用 ， 而 在 实践 中 ， 你 可 以 直接 在 标准 文档 中 找到 它 。 最 后 
一 个 区 块 的 输出 也 就 古 你 返回 的 结 


SHA-256 范 数 利用 了 这 样 的 一 个 压缩 函数 ， 这 个 压缩 函数 把 一 个 
768 位 的 输入 压缩 成 一 个 256 位 的 输出 ， 每 一 个 区 块 的 大 小 是 512 位 。 我 
们 可 以 通过 图 1.3 来 理解 SHA-256 的 工作 过 程 。 


512 位 比特 
信息 信息 信息 
(第 1 个 区 块 ) || (第 2 个 区 块 ) (第 n 个 区 块 ) 


pe 


4 >、 
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X Dy” 


图 1.3 SHA-256 哈 希 函 数 简化 图 
注 : SHA-256 利 用 MD 变换 把 一 个 固定 输入 的 防止 碰撞 的 压缩 函数 变换 成 一 个 接受 任意 长 度 输 
入 的 哈 希 函数 。 通 过 初始 化 向 量 的 补 位 ， 可 以 把 输入 变 成 512 位 比特 的 整数 倍 。 


截至 目前 ， 我 们 已 经 讨论 了 喻 希 函 数 、 密 码 学 上 使 用 具备 特性 的 
险 布 图 数 、 这 些 特性 的 应 用 ， 以 及 在 比特 币 世 界 中 使 用 的 一 类 等 殊 的 
哈 希 函数 。 在 下 面 的 章节 中 ， 我 们 将 讨论 通过 哈 希 函数 来 构建 比特 币 
网 络 中 的 更 为 复杂 的 数据 结构 。 


哈 布 国 数 建 模 


哈 硕 玉 数 是 密码 学 中 的 瑞士 军刀 : 它们 在 众多 各 具 特 色 的 应 用 
中 找到 了 一 席 之 地 。 这 种 多 功能 性 的 另 一 面 是 ， 为 了 保证 安全 ， 不 
同 的 应 用 会 要 求 不 同 的 哈 布 画 数 特性 。 事 实 已 经 证 明 ， 妥 确定 一 系 
列 哈 希 函数 特性 以 全 面 达 成 可 证 安全 极度 困难 。 


本 书 中 ， 我 们 会 选 出 在 比特 币 和 其 他 加 密 数 字 货 币 中 ， 对 哈 希 
函数 使 用 方式 很 重要 的 三 个 特性 。 即 使 在 这 个 范围 内 ， 并 非 所 有 这 
些 特性 对 哈 希 函数 的 每 一 次 使 用 都 有 必要 。 比 如 ， 我 们 之 后 会 看 
到 ， 谜 题 友 好 只 在 比特 币 采 人 矿 中 具有 重要 性 。 


安全 系统 设计 师 常常 会 放弃 ， 并 且 把 哈 希 函数 建立 成 对 于 任意 
一 个 可 能 的 输入 ， 都 会 得 到 一 个 独立 的 随机 输出 的 函数 。 这 种 使 
用 “随机 预言 模式 ?来 证 明 安 全 的 做 法 在 密码 学 中 仍 具 和 争议。 不论 在 
这 个 辩论 中 你 的 立场 如 何 ， 在 建立 安全 系统 时 ， 当 我 们 应 用 哈 硕 画 
数 基 本 特性 ， 推 论 如 何 减 少 安全 特性 的 数量 ， 都 是 至 贯 的 智力 训 
练 。 本 章 的 目的 便 是 帮 你 学 习 这 一 项 技能 。 


里 有 23 个 或 23 个 以 上 的 人 人， 那么 至 少 有 两 个 人 的 生日 相 


| 


[1] 生日 悖 论 是 指 ， 如 果 一 个 房间 
同 的 概率 要 大 于 50%。 这 就 意味 着 在 一 个 典型 的 标准 小 学 班级 (30 人 ) 中 ， 存 在 两 人 生日 相同 
的 可 能 性 更 高 。 对 于 60 或 者 更 多 的 人 ， 这 种 概率 要 大 于 99%。 译 者 注 

[2] 3 和 3+2”36 对 2236 求 余 数 之 后 ， 结 果 都 是 3。 一 一 译 者 注 

[3] 结论 反之 不 成 立 ， 束 是 说 ， 我 们 可 以 找到 碰撞 ， 但 都 不 是 满足 
Honcellmsg)==HCnonce'| msg) 意 义 下 的 碰撞 。 例 如 ， 你 可 以 对 于 同一 个 信息 来 产生 满足 同一 
承诺 的 随机 数 ， 但 这 里 的 哈 希 函数 不 具备 磁 撞 阻力 特性 。 


1.2 哈 希 指针 及 数据 结构 


本 节 将 讨论 哈 希 指针 (hash pointer) 及 其 应 用 。 哈 希 指 针 是 一 种 
数据 结构 ， 这 种 数据 结构 在 我 们 即将 讨论 的 很 多 系统 中 都 很 有 用 。 丛 
单 来 说 ， 哈 硕 指 针 是 一 个 指 回 数据 存储 位 置 及 其 位 置 数据 的 哈 和 希 值 的 
指针 。 一 个 普通 的 指针 可 以 告诉 你 数据 存储 的 位 置 ， 哈 希 指针 不 但 可 
以 告诉 你 数据 存储 的 位 置 ， 并 且 还 可 以 给 你 一 种 方式 ， 让 你 验证 数据 
没有 被 自 改 过 ( 见 图 1.4) 。 


(数据 ) 


图 1.4 哈 布 指针 
人 可 以 指向 数据 存储 的 位 置 ， 还 可 以 明晰 某 个 时 间 稚 下 该 数据 的 哈 希 值 
日 9° 


我 们 可 以 利用 哈 希 指针 构建 各 种 各 样 的 数据 结构 。 为 求 直观 ， 我 
们 可 以 把 原来 用 普通 指针 实现 的 数据 链表 和 二 又 查找 树 通 过 哈 希 指针 
来 实现 。 


区 块 链 


如 图 1.5 所 示 ， 我 们 通过 哈 希 指针 构建 一 个 链表 ， 我 们 将 这 个 数据 
结构 称 为 区 块 链 (block chain) 。 在 普通 链表 中 有 一 系列 区 块 ， 每 个 a 
区 块 既 有 数据 也 有 一 个 指 网 上 一 个 区 块 的 指针 。 而 在 区 块 链 中 ， 上 一 
个 区 块 指针 被 置换 为 哈 希 指针 。 因 此 ， 每 个 区 块 不 仅 能 告诉 我 们 上 一 
个 区 块 的 值 在 哪里 ， 还 包含 了 该 值 的 摘要 ， 使 我 们 能 够 验证 那个 值 没 
有 改变 。 我 们 存储 链表 头 部 (the head of list) ， 即 一 个 普通 的 哈 希 指 
针 指 癌 最 近 使 用 的 数据 区 块 。 


之 前 的 喻 而 指针 
te) 


图 1.5 区 块 链 


注 : 通过 哈 硕 指 针 而 不 是 普通 指针 构建 的 一 个 链表 ， 我 们 把 这 个 链表 称 为 区 块 链 。 


之 前 的 喻 而 指针 
HE 


数据 


之 前 的 喻 而 指 针 
(0 


数据 


区 块 链 的 一 个 应 用 就 是 “ 防 自 改 日 志 ”。 也 就 是 说 ， 我 们 要 建立 一 个 
存储 很 多 数据 的 日 志 数 据 结构 ， 使 我 们 能 将 数据 附加 到 日 志 的 末尾 。 
但 是 如 末 有 人 自 改 日 志 前 面 的 数据 ， 我 们 可 以 检测 到 。 


要 理解 区 块 链 如 何 实现 这 一 防 算 改 特性 ， 我 们 先 看 一 下 如 果 对 手 
要 修改 区 块 链 中 间 的 数据 会 发 生 什 么 。 具体 来 说 ， 通 过 这 种 方式 ， 对 
手 的 目的 是 让 只 记得 区 块 链 头 部 哈 希 指针 的 人 无 法 检测 到 修改 行为 。 
为 达到 这 个 目标 ， 对 手 会 改变 某 区 块 k 的 数据 。 既 然 数 据 已 经 被 改变 ， 
区 块 k+1 的 哈 希 值 ( 即 整个 区 块 k 的 哈 希 值 ， 将 不 会 匹配 。 记 住 ， 因 为 
哈 希 函数 具有 碰撞 阻力 ， 我 们 可 以 确定 新 的 哈 硕 值 与 改变 后 的 内 容 不 
会 匹配 。 因 此 ， 我 们 会 检测 到 区 块 k 中 的 新 数据 以 及 区 块 kr+1 中 的 哈 希 
站 针 的 不 一 臻 性。 当然 ， 对 手 可 以 继续 尝试 ， 并 通过 算 改 下 一 个 区 块 


的 哈 希 值 掩盖 这 次 算 改 。 他 可 以 一 直 这 样 做 ， 但 是 当 他 到 达 链 表 的 头 

部 时 ， 这 个 策略 将 会 失败 。 具 体 来 说 ， 只 要 我 们 将 链表 头 部 的 哈 希 指 

0 对 手 无 法 改动 的 地 方 ， 对 手 将 不 人 做 到 在 不 被 检测 到 的 前 提 
自 改 任何 区 块 ( 见 图 1.6) 
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图 1.6 防 算 改 日 志 


注 : 如 果 对 手 修 改 了 区 块 链 中 的 任意 部 位 的 数据 ， 那 么 将 会 导致 下 一 个 数据 块 的 哈 希 指针 不 正 
确 。 如 果 我 们 锁定 区 块 链 的 头 部 数据 ， 那 么 即使 对 手 修 改 了 所 有 哈 希 指针 使 其 与 修改 过 的 数据 
一 致 ， 那 么 他 也 无 法 修改 头 部 数据 ， 从 而 我 们 束 可 以 检测 到 和 修改 行为 。 


这 样 做 的 结果 是 ， 如 有 果 对 手 想 要 自 改 区 块 链 中 任意 地 方 的 数据 ， 
为 了 保证 整个 内 容 一 致 ， 他 需要 算 改 所 有 的 哈 希 指针 直至 最 开始 的 地 
方 。 他 最 终 将 磁 到 障碍 ， 因 为 他 不 能 自 改 链表 头 部 的 指针 。 这 样 ， 我 
们 便 知 道 ， 仅 通过 记 住 一 个 哈 硕 指针 ， ee 了 整个 链表 的 
防 算 改 哈 希 值 。 因 此 ， 我 们 可 以 搭建 一 含 很 多 区 块 的 区 块 链 网 
络 ， 链 表 头 部 的 哈 布 指针 被 称 Pr El block) 


你 可 能 已 经 注意 到 了 ， 区 块 链 的 结构 与 我 们 上 一 节 见 到 的 MD 变换 
类 似 。 的 确 ， 它 们 很 相似 ， 同 一 个 安全 论证 对 于 两 者 者 适用。 


元 水 树 
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另 一 个 我 们 可 以 用 哈 硕 指针 建立 的 有 用 的 数据 结构 是 二 叉 树 。 使 
用 哈 希 指针 的 二 又 树 也 叫 作 梅 克 尔 树 (Merkle trees)， 以 其 发 明 者 拉 尔 
夫 . 梅 克 尔 (Ralph Merkle) 的 名 字 命名 。 如 图 1.7 所 示 ， 假 设 我 们 有 很 
多 包含 数据 的 区 块 ， 这 些 区 块 束 构成 了 树 的 叶子 (节点 ) 。 我 们 将 这 
pe be 然后 为 每 一 组 建立 一 个 有 两 个 哈 希 指针 的 数据 

结构 ， 每 个 指针 对 应 一 个 区 块 ， 这 些 数 据 结构 就 构成 了 树 的 下 一 个 层 
次 。 我 们 轮流 将 这 些 区 块 组 两 两 分 组 ， Ne 
块 组 哈 希 指针 的 新 的 数据 结构 。 以 此 类 推 ， 直 到 我 们 得 到 一 个 单一 区 
块 ， 即 树 根 节点 。 
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图 1.7 梅 克 尔 树 

注 : 在 梅 克 尔 树 的 数据 结构 中 ， 所 有 的 数据 区 块 都 被 两 两 分 组 ， 指 向 这 些 数据 区 块 的 指针 被 存 
储 在 上 一 层 的 父 节 点 (parent node) 中 ， 而 这 些 父 节 点 再 次 被 两 两 分 组 ， 并 且 指 癌 父 下 点 的 指 
针 被 存储 在 上 一 层 的 父 节 点 直 持 续 这 个 过 程 ， 直 到 最 后 我 们 到 达 树 的 根 世 点 。 


如 上 所 述 ， 我 们 要 记 住 树 最 前 面 的 哈 希 指针 。 我 们 现在 可 以 通过 
哈 布 指针 回调 到 列表 中 的 任何 位 置 ， 这 让 我 们 能 保证 数据 确实 未 经 自 
改 ， ee 样 ， 如 果 对 手 和 修改 了 树 撒 部 的 一 些 数 
据 区 块 ， 会 导致 上 一 层 的 哈 希 指针 不 匹配 ， 即 使 他 继续 自 改 这 个 区 


块 ， 改 动 数 据 行 为 将 最 终 传递 到 树 的 项 疾 ， 而 此 时 ， 他 将 不 能 自 改 我 
们 存储 的 哈 希 指针 。 因 此 ， 同 样 地 仅仅 通过 记 住 顶部 的 哈 布 指针 ， 任 
何 企图 熙 改 任 何 数 据 的 行为 部 会 被 检测 到 。 


隶属 证 明 


与 我 们 之 前 建立 的 区 块 链 不 同 ， 梅 元 尔 树 的 另 一 个 特点 是 它 可 以 
实现 简 污 的 隶属 证 明 。 假 设 杀 人 想 要 证 明 某 个 数据 区 块 隶属 于 梅 元 尔 
树 。 同 样 地 ， 我 们 只 记 住 树 根 节点 ， 然 后 他 需要 展示 给 我 们 数据 块 信 
恩 ， 以 及 从 该 数据 区 块 通 向 树 根 市 点 的 那些 区 块 ， 我 们 可 以 忽略 树 的 
其 余部 分 ， 这 样 做 古 因为 这 些 区 块 已 经 足够 让 我 们 验证 通 往 树 根 市 抬 
过 程 中 所 有 的 哈 布 值 。 其 工作 原理 图 解 参见 图 1.8。 
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图 1.8 隶属 证 明 
注 ， 为 了 证 明 某 个 数据 区 块 来 自 一 个 梅 克 尔 树 ， 我 们 只 需要 找到 该 数据 区 块 到 树 根 节点 的 路 
径 。 


如 果 整 棵 树 上 有 n 个 入 点 ， 只 需要 展示 约 log(n) 个 项 目 ， 因 为 每 个 
步 又 仅 需 要 计算 子 区 块 的 哈 希 值 ， 验 证 过 程 需要 时 间 约 为 log(n)。 


此 ， 即 使 梅 元 尔 树 包含 大 量 的 区 块 ， 我 们 仍 可 以 在 相对 较 短 时 间 内 证 
明 隶 属 关 系 。 因 此 ， 验 证 需要 花 的 时 间 和 涉及 空间 ( 树 节点 ) 与 log(n) 
同 级 。 


一 个 排序 梅 克 尔 树 是 把 底层 的 数据 通过 某 些 排序 得 到 的 梅 克 尔 
树 ， 这 里 排序 规则 可 以 是 字母 表 排 序 、 词 典 排序 、 数 字 化 排序 ， 或 者 
其 他 约定 的 排序 方式 。 


非 隶 属 证 明 


有 了 排序 梅 克 尔 树 ， 我 们 可 以 在 一 个 对 数 复杂 度 的 条 件 下 验证 某 
一 个 数据 区 块 并 非 来 目 茶 梅 元 尔 树 。 也 束 是 说 ， 我 们 可 以 证 明 肝 个 特 
定 区 块 不 属于 梅 元 尔 树 ， 而 我 们 只 是 简单 通过 展示 被 验证 区 块 之 前 的 
区 块 路 径 ， 以 及 被 验证 区 块 之 后 的 区 块 路 径 ， 束 可 以 达到 目的 。 如 果 
之 前 、 之 后 两 个 区 块 在 树 上 是 连续 的 ， 那 么 这 说 明了 被 验证 区 块 与 该 
梅 元 尔 树 之 间 走 非 隶 属 关 系 。 因 为 家 验证 区 块 确 实 隶 属于 梅 苑 尔 树 ， 
它 需 要 在 两 个 条 目 之 间 ， 而 如 果 两 个 条 目 是 连续 的 话 ， 二 者 之 间 则 并 


没有 空间 。 


我 们 讨论 过 在 链表 及 二 叉 树 中 使 用 哈 硕 指针 ， 但 更 广泛 地 说 ， 我 
们 可 以 在 任何 以 指针 为 基础 的 数据 结构 中 使 用 哈 希 指针 ， 条 件 是 数据 
结构 不 存在 循环 。 如果 数据 结构 中 存在 循环 ， 那 么 我 们 将 不 能 使 所 有 
哈 希 值得 到 匹配 。 想 一 下 ， 在 一 个 非 循环 的 数据 结构 中 ， 我 们 可 以 在 
靠近 让 皮 的 地 方 开 始 ， 或 者 在 没有 指针 的 数据 区 块 开始 ， 计 算 其 哈 布 
值 ， 然 后 从 后 往 前 进行 计算 。 但 是 在 一 个 有 循环 结构 的 网 络 中 ， 并 没 
有 一 个 根 入 点 ， 可 以 让 我 们 去 退 溯 。 


因此 ， 试 想 另 一 个 例子 ， 我 们 可 以 建立 一 个 哈 希 指针 定向 的 非特 
环 图 。 


我 们 能 够 在 该 图 中 非常 有 效 地 验证 隶属 关系 ， 同 时 也 方便 计算 。 
这 样 的 哈 硕 指针 使 用 方式 是 一 个 第 见 技巧 ， 在 分 布 数据 结构 中 、 在 本 
章 后 面 会 讨论 到 的 算法 中 以 及 本 书 中 都 会 反复 提 到 。 


1.3 数字 签名 


在 本 节 ， 我 们 将 讨论 数字 签名 (digital signatures) 。 数 字 签 名 是 
密码 学 中 的 第 二 个 重要 部 分 ， 该 理论 和 哈 希 函数 一 起 ， 为 我 们 后 面 讨 
论 加 密 货 币 黄 定 基 础 。 数 字 签 名 被 认为 是 对 纸 上 手 写 答 名 的 数字 模 
拟 。 我 们 对 数字 签名 有 两 个 特性 要 求 ， 使 其 与 我 们 对 手写 签名 的 预期 
一 致 。 第 一 ， 只 有 你 可 以 制作 你 目 己 的 签名 ， 但 任何 看 到 它 的 人 都 可 
以 验证 其 有 歼 性 ; 第 二 ， 我 们 硕 望 答 名 只 与 某 一 特定 文件 发 生 联 系 ， 
因此 该 签名 不 能 用 于 表明 你 同意 或 文 持 另 一 份 不 同 的 文件 。 对 于 手写 
签名 来 说 ， 第 二 条 就 如 同 确 你 别人 不 能 将 你 的 签名 从 一 份 文 件 上 前 下 
来 ， 贴 到 另 一 份 文 件 的 末尾 那样 。 


那 我 们 如 何 通过 密码 学 来 构建 这 些 性 质 呢 ? 首先 ， 让 我 们 把 之 前 
的 直观 讨论 说 得 更 具体 一 些 ， 以 便 今 后 可 以 更 好 地 论证 数字 签名 方 
案 ， 并 讨论 其 安全 特性 。 


数字 签名 方案 


数字 签名 方案 由 以 下 三 个 算法 构成 : 

® (sk, pk) :=generateKeys(keysize) generateKeys 方 法 把 keysize 作 
为 输入 ， 来 产生 一 对 公 钥 和 私 钥 。 私 钥 sk 被 安全 保存 ， 并 用 来 签名 
一 段 消息 ; 公 钥 pk 是 人 人 都 可 以 找到 的 ， 拿 到 它 ， 就 可 以 用 来 验证 
你 的 签名 。 

e sig:=sign(sk, message) 签名 过 程 是 把 一 段 消 恩 和 私 钥 作 为 一 个 
输入 ， 对 于 消息 输出 是 签名 。 

e isValid:=verify(pk, message, sig) 验证 过 程 是 通过 把 一 段 消 轧 和 
签名 消息 与 公 钥 作 为 输入 ， 如 果 返 回 的 结果 是 真 ， 证 明 签名 属实 ; 


如 果 返 回 的 结果 为 假 ， 证 明 签 名 消息 为 假 。 
我 们 要 求 以 下 两 个 性 质 有 效 : 
e 有 效 笠 名 可 以 通过 验证 ， 即 : 
verify(pk, message, sign(sk, message))==true 


。 签名 不 可 伪造 。 


我 们 注意 到 generateKeys 和 sign 都 可 以 采用 随机 算法 。 的 确 ， 
generateKeys 最 好 是 随机 的 ， 因 为 它 需 要 为 不 同 的 人 生成 不 同 的 密 钥 ， 
而 verify 则 需要 是 确定 的 。 


现在 ， 让 我 们 更 详细 地 检验 我 们 要 求 数字 签名 方案 具备 的 两 个 特 
性 。 第 一 个 特性 很 直接 ， 那 束 古 有 效 的 签名 必须 通过 验证 。 如 琳 我 用 
我 的 密 角 sk 签署 了 一 条 消 轧 ， 之 后 有 人 试图 通过 使 用 我 的 公 角 pk 验证 关 
于 同一 条 消息 的 签名 ， 该 签名 必须 证 实 为 正确 。 这 个 特性 是 对 签名 有 
效 的 最 基本 要 求 。 


不 可 伪造 性 。 第 二 个 要 求 计算 上 不 可 能 伪造 签名 。 也 就 是 说 ， 
知道 你 公 钥 并 看 到 你 在 某 些 信息 上 签名 的 对 手 ， 不 能 伪造 他 还 未 见 过 
的 你 在 其 他 信息 上 的 签名 。 这 一 不 可 伪造 特性 类 似 于 我 们 与 对 手 之 间 
在 进行 一 场 游戏 ， 游 戏 的 使 用 在 密码 安全 证 明 中 很 常见 。 


在 不 可 伪造 性 游戏 中 ， 对 手 会 声称 他 可 以 伪造 签名 ， 而 挑战 者 会 
测试 他 所 说 的 话 〈 见 图 1.9) 。 我 们 做 的 第 一 件 事 是 使 用 generateKeys 方 
法 生成 一 个 密 铀 ， 以 及 相应 的 公共 验证 公 钥 ， 我 们 将 密 钥 区 给 挑战 
者 ， 然 后 将 公 钥 交 给 挑战 者 以 及 对 于 。 因 此 ， 对 手 只 知道 公共 信息 ， 
而 他 的 任务 是 试图 伪造 一 条 信息 。 挑 战 者 知道 密 钥 ， 因 此 他 可 以 签 
名 。 


(sk, pk) 


挑战 者 


sign (sk, myo) 


A 


vey pM M not in {mo, mi, ...} 


如 果 是 正确 的 ， 黑客 万 得 这 个 游戏 


图 1.9 不 可 伪造 性 游戏 

注 ， 不 可 伪造 性 游戏 是 对 手 (黑客 ) 和 挑战 者 一 起 玩 这 样 一 个 游戏 : 如 果 器 客 可 以 在 一 个 之 前 
没有 见 过 的 消息 上 进行 签名 ， 那么 不 窜 束 严 得 这 个 洲 戏 ， 反 之 ， 如 有 果 黑 客 做 不 到 ， 挑 战 者 就 说 
得 游戏 ， 从 而 可 以 证 明 这 个 数字 签名 方案 是 不 可 伪造 的 。 


直观 来 看 ， 这 个 游戏 的 设 定 与 真实 世界 条 件 一 致 ， 现 实 中 的 攻击 
> 
甚至 还 可 能 操控 受害 者 签署 一 份 看 起 来 无 害 但 对 黑客 有 利 的 文件 。 


为 了 将 这 一 点 建 模 到 我 们 的 游戏 中 ， 我 们 将 允许 黑客 选择 一 些 文 
件 的 签名 ， 不 限时 长 ， 只 要 猜测 的 数量 合 情 。 合 情 猜 测 数量 的 意思 
征 ， 我 们 允许 攻击 者 答 试 猜测 的 次 数 高 达 百 万 ， 但 数量 高 达 23) 束 不 行 
了 。 从 产 进 性 角度 来 次， 我 们 允许 攻击 者 多 次 演 试 ， 答 试 次 数 可 以 是 
一 个 密 钥 大 小 的 多 项 式 画 数 ， 但 次 数 不 能 更 多 (例如 攻击 者 不 能 以 指 
数 方式 猜测 ) 。 


一 旦 攻击 者 满意 他 所 看 到 的 签名 数量 ， 那 他 就 可 以 挑选 菜 条 信息 
M， 笑 试 在 上 面 伪 造 签名 。 对 M 的 唯一 限制 惑 是 ， 它 必须 为 攻击 者 之 前 


未 在 之 上 看 过 签名 的 信息 (因为 很 明显 ， 攻 击 者 可 以 发 出 他 收 到 过 的 
签名 ) 。 挑 战 者 运行 验证 算法 ， 以 此 确定 攻击 者 生成 的 天 于 M 信 息 签 名 
在 经 过 公共 验证 密 钥 验 证 后 ， 是 否 属 实 。 如 果 验 证 成 功 ， 攻 击 者 说 得 
游戏 。 


不 论 对 手 使 用 什么 算法 ， 我 们 说 签名 方案 不 可 伪造 ， 当 且 仅 当 他 
成 功 伪造 信息 的 机 会 非 第 小 一 一 小 到 我 们 可 以 假设 在 实践 中 从 不 会 发 
生 。 


实践 中 的 考量 


要 将 算法 概念 转化 为 现实 中 可 执行 的 数字 签名 机 制 ， 我 们 还 需要 
考虑 许多 实际 问题 。 例 如 ， 很 多 签名 算法 是 随机 的 (特别 是 比特 币 使 
用 的 算法 ) ， 因 此 我 们 需要 随机 性 的 良好 来 源 。 我 们 不 能 低估 这 一 点 
的 重要 性 ， 因 为 不 民 随 机 性 会 使 你 认为 安全 的 算法 变 得 不 安全 。 


男 一 个 实际 问题 是 天 于 信息 大 小 。 在 实践 中 ， 你 能 够 爹 团 的 信息 
大 小 是 有 限制 的 ， 因 为 真实 的 方案 将 在 位 数 长 度 有 所 限制 的 字符 串 中 
运行 。 有 一 个 简单 的 方法 可 以 解决 这 个 限制 : 对 信息 的 哈 希 值 进 行 等 
车 ， 而 非 对 信息 本 吴 进 行 俭 普 。 如 采 我 们 使 用 输出 值 为 256 位 的 加 密 的 
哈 希 函数 ， 那 么 我 们 可 以 有 效 地 签署 任何 长 度 的 信息 ， 只 要 我 们 的 签 
名 方案 能 够 签署 256 位 的 信息 。 如 上 所 述 ， 我 们 可 以 将 信息 的 哈 希 值 作 
为 信息 摘要 ， 哈 希 函 数 具 有 碰撞 阻力 ， 因 此 这 种 方式 是 安全 的 。 


我 们 后 面 会 用 到 的 男 一 个 技巧 是 ， 可 以 对 于 蛤 希 指 针 进 行 釜 署 。 
如 果 你 签署 了 哈 希 指针 ， 那 么 该 签名 覆盖 (或 者 说 保护 ) 整个 结构 
一 一 这 不 仅仅 是 哈 布 指针 本 号， 还 包括 哈 希 指针 指 癌 的 整个 区 块 链 。 
比如 ， 如 采 釜 屠 了 区 块 链 末尾 的 哈 希 指针 ， 其 结 末 束 定 你 有 效 地 数字 
签 普 了 整 条 区 块 链 。 


椭圆 曲线 数 子 使 名 算法 


现在 让 我 们 来 看 一 下 具体 的 细 市 。 比 特 币 使 用 的 数字 签名 方案 叫 
作 椭 圆 曲 线 数字 签名 算法 (ECDSA) 。ECDSA 为 美国 政府 的 标准 ， 是 
早 前 DSA [划算 法 利用 了 椭圆 曲线 的 升级 版 。 这 些 算法 经 过 了 数 年 的 细 
致密 码 分 析 ， 且 被 普遍 认为 是 安全 的 。 


更 具体 地 说 ， 比 特 币 使 用 ECDSA 算 法 ， 而 不 是 标准 椭圆 曲 
线 “secp256k1”[ 预 计 提供 128 位 安全 保障 ， 即 打破 这 个 算法 的 难度 与 执 
行 2128 对 称 性 密 钥 运算 (如 破解 哈 希 函数 ) 一 样 困 难 ]。 虽 然 这 个 曲线 
是 公开 标准 ， 但 除 比 特 币 以 外 鲜 有 使 用 ， 其 他 使 用 ECDSA 的 应 用 (如 
安全 网 络 浏览 时 的 TLS [2 密 钥 交换 ) 通常 都 使 用 更 常见 
的 “secp256k1” 曲 线 。 这 就 是 比特 币 的 一 个 古怪 之 处 ， 因 为 在 比特 币 系 
统 早期 实施 中 被 中 本 聪 选 定 (参见 原版 前 言 ) ， 现 在 已 很 难 改变 。 


我 们 不 会 详细 地 讨论 ECDSA 的 原理 ， 因 为 这 涉及 一 些 过 于 复杂 的 
数学 知识 ， 且 对 于 本 书 的 其 他 内 容 没 有 太 多 帮助 。 如 果 你 对 ECDSA 感 
兴趣 ， 请 参见 本 章 末 尾 延 伸 阅 读 部 分 。 虽 然 我 们 这 么 说 ， 但 对 于 了 解 
各 种 参数 也 许 会 很 有 必要 : 


个 人 密 钥 : 256 位 

公 钥 (未 压缩 ) : 512 位 
公 角 (压缩 ) : 257 位 
待 签名 信息 : 256 位 

人 和: 


签名 : 512 位 


注意 ， 严 格 来 讲 ， 虽 然 ECDSA 只 能 签署 256 位 的 信息 ， 但 这 存在 问 
题 ， 因 为 信息 在 签署 之 前 总 是 已 经 经 过 哈 希 压 缩 ， 因此， 任何 大 小 的 


使 用 ECDSA 时 ， 确 你 随机 性 民 好 来 产 至 关 重 要 ， 因 为 不 民 来 源 将 
可 能 导致 密 钥 信息 的 泄露 。 这 一 点 不 难 理解 ， 如 采 你 使 用 了 不 民 随 机 
来 生成 密 钥 ， 那 么 该 密 钥 就 可 能 不 安全 。 但 是 ECDSA 的 古怪 就 在 于 ， 
即使 你 仅仅 只 是 在 生成 签名 时 使 用 了 不 恨 随 机 ， 而 你 使 用 的 密 钥 完美 
无 缺 ， 你 的 个 人 密 钥 还 是 有 可 能 泄露 (熟悉 DSA 的 人 都 知道 这 是 DSA 
的 古怪 之 处 ， 但 并 不 针对 椭圆 曲线 。 接 着 游戏 就 结束 了 人， 如 果 你 的 
个 人 密 钥 泄露 ， 对 手 束 可 以 伪造 你 的 签名 。 因 此 ， 我 们 在 实践 中 要 特 
别 注意 使 用 良好 随机 来 产 ， 使 用 不 良 随机 来 源 是 安全 系统 的 一 个 常见 
缺陷 。 


数字 签名 作为 密码 学 基础 ， 我 们 对 其 讨论 就 此 结束 。 在 下 一 节 ， 
我 们 将 讨论 对 打造 加 密 货币 会 带 来 帮助 的 一 些 数字 签名 应 用 。 


加 蜜 货 币 及 加 密林 


如 果 你 一 直 在 期 待 比特 币 使 用 的 加 密 算 法 ， 我 们 可 能 会 让 你 失 
望 了 ， 比 特 币 并 没有 使 用 任何 加 密 术 ， 因 为 并 没有 加 密 的 和 需要。 加 
密 术 只 是 因为 现代 密码 学 而 变 得 可 能 成 为 众多 技术 中 的 一 个 ， 很 多 
技术 〈 如 承 诡 方案 ) 在 某 种 程度 上 隐藏 信息 ， 但 是 与 加 密 术 有 所 不 
同 。 


[1] DSA (Digital Signature Algorithm)， 电 子 签名 
答 层 安全 协议 ， 用 于 在 两 个 通信 应 用 程序 之 间 提 


[2] TLS (Transport Layer Security) ， 传 输 
供 保 密 性 和 数据 完整 性 。 译 者 注 


1.4 公 钥 即 身 份 


让 我 们 来 看 一 下 与 数字 签名 并 行 的 一 个 有 用 技巧 ， 基 本 想法 是 从 
数字 签名 模式 中 拿 出 一 个 公共 验证 密 钥 ， 并 将 其 与 一 个 人 或 一 个 系统 
参与 者 的 吴 份 对 等 。 如 采 你 见 到 一 条 消息 的 签名 被 公 钥 pk 正 确 验 证 ， 
那么 你 可 以 认为 pk 束 是 在 表达 这 条 消息 。 你 真 的 可 以 将 公 钥 认为 是 参 
与 者 或 者 系统 的 一 方 ， 他 可 以 通过 签署 声明 而 发 布 声明 。 从 这 个 角度 
来 说 ， 公 钥 束 是 映 份 ， 让 某 人 能 为 pk 号 份 发 声 ， 他 必须 知道 相应 的 密 
钥 sk。 


将 公 角 视 为 喘 份 的 一 个 结果 是 ， 你 可 以 随时 制定 新 的 号 份 一 一 你 
可 以 人 简单 通过 数字 签名 方案 中 的 generateKeys 程 序 ， 生 成 新 的 密 钥 对 sk 
和 pk。pk 是 你 可 以 使 用 的 新 的 公共 身份 ，sk 是 相应 的 密 角 ， 只 有 你 日 
己 知道 并 可 以 让 你 代表 身份 为 pk 发 声 。 在 实践 中 ， 你 可 能 会 使 用 pk 的 
哈 希 作为 你 的 吴 份 ， 这 是 因为 公 钥 很 大 。 如 果 是 这 样 的 话 ， 为 了 验证 
消息 来 自 你 的 身份 ， 人 们 会 需要 验证 : (1) 你 的 身份 确实 是 pk 的 哈 
希 ; (2) 信息 能 经 过 公 钥 pk 验证 。 


此 外 ， 在 默认 情况 下 ， 你 的 公 钥 pk 基本 上 看 起 来 是 随机 的 ， 也 并 
没有 人 能 够 通过 检查 pk 发 现 你 的 现实 身份 当然， 一旦 你 开始 使 用 这 
个 号 份 发 表 声 明 ， 这 些 声 明 可 能 泄露 信息 ， 而 让 别人 将 你 的 真实 吴 份 
与 pk 联系 起 来 。 我 们 很 快 会 更 详细 地 讨论 这 个 问题 ) 。 你 可 以 生成 一 
个 看 起 来 随机 的 新 身份 ， 看 起 来 像 人 群 中 的 一 张 脸 ， 但 这 些 都 只 有 你 
能 够 控制 。 


去 中 心 化 身份 管理 


公 钥 和 私 钥 的 体系 ， 帮 助 我 们 引入 去 中 心 化 的 吴 份 管理 的 理念 。 
你 可 以 目 己 作为 用 户 注 册 ， 而 无 须 到 一 个 中 央 机 构 注册 为 系统 用 户 。 
你 不 需要 别人 给 你 一 个 用 户 名 ， 你 也 不 需要 告诉 任何 人 你 会 使 用 什么 
名 字 。 如 采 你 想 要 新 的 身份 ， 可 以 随时 生成 一 个 ， 而 且 想 要 多 少 就 生 
成 多 少 。 如 果 你 布 望 拥有 五 个 不 同 的 名 字 ， 没 有 问题 ! 那 束 生成 五 个 
身份 。 如 采 你 想 匿名 一 阵子 ， 你 可 以 生成 一 个 新 的 身份 ， 使 用 一 段 时 
间 ， 然 后 弃 之 不 用 。 有 了 去 中 心 化 喘 份 管理 ， 所 有 这 一 切 都 变 得 可 
能 。 事 实 上 ， 这 就 是 比特 币 对 每 喘 份 的 方式 。 这 些 喘 份 在 比特 币 语言 
中 被 称 为 地 址 。 你 可 以 常常 听 到 地 址 这 个 词 ， 用 于 比特 币 或 加 密 货 
相关 的 内 容 中 ， 而 地 址 其 实 就 是 公 钥 的 哈 硕 值 。 作 为 去 中 心 化 身份 管 
理 方案 的 一 部 分 ， 它 束 是 某 人 和 换 空 捏造 的 一 个 号 份 而 已 。 


安全 性 与 随机 性 


你 可 以 不 经 过 中 央 机 构 而 生成 一 个 身份 的 概念 可 能 看 起 来 有 
停 常理 。 毕 沈 ， 如 果 有 人 刚好 就 生成 了 跟 你 一 样 的 密 铀 ， 他 不 就 
能 偷 走 你 的 比特 币 吗 ? 

我 们 给 你 的 回答 是 ， 别 人 生成 一 个 与 你 的 相同 256 位 密 钥 的 概 
率 如 此 之 小 ， 在 实践 中 ， 我 们 不 需要 担心 它 会 发 生 。 总 而 言 之 ， 
我 们 保证 这 种 情况 绝 不 会 发 生 。 

一 般 来 说 ， 与 新 手 的 直觉 不 同 的 是 ， 概 率 系统 是 不 可 预测 且 
难以 推理 的 ， 反 面 的 常常 是 真 的 -统计 学 理论 使 得 我 们 可 以 精 
确 地 量化 我 们 感 兴趣 的 事件 的 概率 ， 并 对 该 系统 行为 做 出 自信 的 
推论 。 

但 还 有 一 个 精妙 之 处 ， 概率 保 证 只 有 在 密 钥 为 随机 产生 时 为 
真 。 在 现实 系统 中 ， 随 机 的 生成 常常 是 薄弱 环节 。 如 果 两 个 用 户 


的 电脑 使 用 同样 的 随机 来 源 或 者 使 用 可 预测 的 随机 ， 那 么 理论 保 
证 不 再 适用 。 所 以 ， 在 生成 密 钥 时 使 用 良好 随机 源 至 关 重 要 ， 以 
确保 实践 保证 与 理论 保证 相符 。 


乍 一 看 ， 去 中 心 化 号 份 管理 可 能 极 具 匿 名 性 及 隐秘 性 。 毕 竟 ， 你 
可 以 目 己 创建 一 个 看 起 来 很 随机 的 号 份 ， 同 时 也 不 用 告诉 任何 人 你 的 
真实 身份 是 什么 。 但 事实 并 不 是 这 么 价 单 ， 随 着 时 间 的 推移 ， 你 创建 
的 吴 份 会 做 出 一 系列 的 声明 。 人 们 看 到 这 些 声明 便 知 道 拥有 这 个 号 份 
的 人 做 出 了 特定 的 一 系列 行为 。 他 们 能 够 开始 将 细节 联系 起 来 ， 从 这 
一 系列 的 行为 推断 出 你 的 真实 喘 份 。 随 着 时 间 的 推移 ， 一 个 观察 者 可 
以 将 这 些 事情 联系 起 来 ， 并 推断 出 这 样 的 结论 :“ 天 ， 这 个 人 的 行为 好 
像 乔 (Joe) ， 可 能 这 个 人 就 是 错 。” 

换 句 话说 ， 在 比特 币 系 统 中 ， 你 不 需要 明确 地 注册 或 揭露 你 的 真 
实 喘 份 ， 但 是 你 的 行为 模式 本 映 可 能 是 可 识别 的 。 这 整 是 比特 币 等 加 
密 货 币 的 基本 隐秘 性 问题 ， 我 们 将 会 在 第 6 章 专 门 讨论 这 个 问题 。 


1.5 两 种 简单 的 加 密 货 币 


现在 ， 让 我 们 从 密码 术 过 小 到 加 蜜 货币 。 我 们 之 前 的 密码 术 干 货 
在 这 里 就 要 开始 发 挥 作用 了 ， 今后 我 们 会 逐渐 看 到 各 部 分 之 间 如 何 相 
互联 系 ， 也 会 发 现 哈 希 函 数 和 数字 签名 等 密码 程序 的 意义 。 在 本 市 ， 
我 们 将 讨论 两 种 很 简单 的 加 密 货 币 。 当 然 ， 我 们 也 需要 学 习 本 书后 面 
大 量 的 内 容 ， 才 能 深刻 曾 释 比特 币 本 身 的 运作 机 制 。 


第 一 个 是 高 飞 币 (GoofyCoin， 此 币 的 创造 者 叫 高 飞 ) ， 它 应 该 是 
我 们 能 想到 的 最 简单 的 加 密 货 币 。 高 飞 币 只 有 两 个 规则 ， 第 一 个 规则 
是 指定 高 飞 可 以 随时 创建 新 币 ， 且 这 些 新 创建 的 币 都 属于 他 。 


为 创建 新 币 ， 高 飞 生成 一 个 他 之 前 从 未 生成 的 唯一 的 货币 编号 
uniqueCoinID) ， 并 建立 字符 串 “CreateCoin [uniqueCoinID]”。 然 后 ， 
他 使 用 秘密 签署 密 钥 计 算 这 个 字符 串 的 数字 签名 ， 该 字符 串 与 高 飞 的 
签名 就 构成 一 单位 币 。 任 何人 都 可 以 验证 该 新 币 包含 高 尺 有 效 签名 ， 

因此 该 新 币 为 有 效 币 。 


高 飞 币 的 第 二 个 规则 是 ， 拥 有 此 币 的 人 可 以 将 其 转 给 其 他 人 。 转 
移 一 只 币 不 是 简单 地 将 币 数据 结构 发 运 给 接受 者， 而 是 必须 通过 密码 
程序 来 完成 。 


假设 高 飞 想 把 他 创建 的 一 只 币 转 给 爱丽 丝 。 未 达成 这 个 目的 ， 他 
需要 创建 一 个 新 的 声明 表示 “将 此 币 文 付 给 爱丽 丝 ”"， 在 此 声明 中 “此 
币 ” 束 是 该 币 的 哈 希 指针 。 如 上 所 述 ， 映 份 其 实 束 是 公 钥 ， 因 此 “爱丽 


丝 ? 指 的 就 是 爱丽 丝 的 公 钥 。 最 后 ， 高 飞 签署 代表 该 声明 的 字符 串 。 
为 高 飞 是 起 初 拥有 该 币 的 人 ， 他 必须 签署 花 掉 该 币 的 任何 交易 。 一 旦 
由 高 飞 签署 的 代表 他 的 交易 的 这 个 数据 结构 存在 ， 爱 丽 丝 便 拥有 这 个 
币 。 她 可 以 向 任何 人 证 明 她 拥有 这 个 币 ， 因 为 她 可 以 展示 有 高 飞 有 效 
签名 的 数据 结构 。 此 外 ， 它 也 指向 曾经 为 高 飞 所 有 的 一 个 有 效 币 。 
此 ， 该 币 的 有 效 性 及 所 有 权 在 系统 中 束 不 言 目 明了 。 


一 旦 爱丽 丝 拥 有 了 这 个 币 ， 她 也 可 以 花 探 它 。 为 达到 这 个 目的 ， 
她 创建 了 一 个 声明 表示 “将 这 个 币 付 给 鲍 勃 的 公 钥 ”， 此 时 “这 个 币 ? 就 是 
她 所 有 的 那个 币 的 哈 布 指针 。 当 然 ， 爱丽 丝 要 签署 该 声明 。 任 何 看 到 
这 个 币 的 人 部 可 以 验证 鲍 劲 是 其 所 有 人 。 他 们 可 以 根据 哈 硕 指针 链 追 
漳 到 该 币 的 创建 及 验证 每 一 个 步 又， 这 束 是 其 合法 所 有 人 签署 了 一 份 
声明 表示 “将 这 个 币 支 付 给 | 新 的 所 有 人 | ”， 详 见 图 1.10。 


爱丽 丝 用 私 钥 签名 


支付 给 鲍 勃 的 公 钥 的 哈 希 指针 


高 飞 用 私 钥 签名 


支付 给 爱丽 丝 的 公 钥 的 哈 希 指针 


高 飞 用 私 钥 签 名 


造 币 [uniqueCoinID |] 


图 1.10 高 飞 币 交易 
图 示例 了 货币 创造 的 过 程 和 被 花费 过 两 次 的 过 程 。 


Ne 


总 结 一 下 ， 高 飞 币 的 规则 是 : 


e 高 飞 可 以 通过 签署 声明 表示 他 使 用 唯一 的 货币 编号 来 创建 一 
个 新 币 。 

e 币 的 所 有 人 可 以 通过 签署 声明 表示 “将 这 个 币 转 给 X”( 其 中 X 
为 公 钥 ) ， 将 其 转 给 另 一 个 人 。 

e 任何 人 都 可 以 验证 一 只 币 的 有 效 性 ， 跟 随 哈 布 指针 追 调 到 它 
是 由 高 飞 创建 ， 并 验证 过 程 中 所 有 签名 。 


当然 ， 高 飞 币 有 一 个 致命 安全 隐患 。 假 设 爱丽 丝 通 过 把 她 签署 的 
声明 发 送 给 鲍 劲 ， 即 将 她 的 币 转 给 鲍 盈 ,但 并 没有 告诉 其 他 人 。 她 也 
可 以 创建 男 一 个 签名 ， 声 明 将 同样 一 只 币 转 给 了 查 克 (Chuck) 。 对 于 
得 克 来 说 ， 这 看 起 来 是 一 个 完全 有 效 的 交易 ， 而 他 是 该 币 的 所 有 人 。 
鲍 萤 和 得 克 似 乎 都 可 以 有 歼 表 示 目 己 是 那个 币 的 所 有 人 “。 这 个 丈 是 所 
谓 的 双重 支付 (double spending) 一 爱丽 丝 将 同样 一 只 币 花 了 两 
次 。 我 们 一 看 就 知道 货币 是 不 能 这 样 论 的 。 


事实 上 ， 双 重文 付 是 任何 加 密 货 币 需要 解决 的 主要 问题 之 一 ， 高 
飞 币 没有 解决 这 一 问题 ， 因 此 不 安全 。 


高 飞 币 很 简单 ， 其 货币 转移 机 制 其 实 与 比特 币 非 常 相似 ， 但 是 因 
为 它 并 不 安全 ， 因 此 并 不 适合 作为 加 密 货 币 。 


财 双 币 


为 解决 双重 支付 问题 ， 我 们 会 涉及 另外 一 个 加 密 货 币 ， 我 们 将 其 
称 为 财 奴 币 (ScroogeCoin) 。 财 妈 币 是 以 高 飞 币 为 基础 创建 的 ， 但 在 
数据 结构 方面 更 复杂 。 


第 一 个 主要 概念 如 下 : 一 个 叫 财 妈 的 指定 实体 将 负责 公布 包含 所 
有 发 生 过 的 交易 历史 记录 的 仅 增 账目 (append-only ledger) ， 账 目的 仅 
增 特 性 保证 了 写 入 这 个 账目 的 任何 数据 都 会 永久 保留 下 来 。 如 采 账 目 
真 的 为 仅 增 ， 通 过 要 求 所 有 的 交易 在 被 接收 前 都 写 入 项 目 ， 我 们 可 以 
用 其 防止 双重 文 付 的 发 生 。 这 样 ， 如 果 之 前 币 已 经 转 给 了 一 个 不 同 的 
所 有 者 ， 大 家 都 可 以 看 到 。 


为 执行 这 个 仅 增 功能 ， 财 奴 可 以 建立 一 个 区 块 链 (我 们 之 前 已 经 
讨论 过 其 数据 结构 ) ， 对 于 区 块 链 ， 财 妈 要 进行 数字 签名 ， 因 此 ， 这 
从 而 环形 成 了 一 系列 数据 块 ， 每 个 数据 块 都 包含 一 次 交易 (在 实践 
中 ， 一 种 优化 的 做 法 是 将 多 次 交易 放 入 同一 个 区 块 中 ， 比 特 币 融 是 这 
样 做 的 ) ， 每 个 区 块 包含 交易 的 ID、 交 易 的 内 容 ， 以 及 上 一 个 区 块 的 
哈 布 指针 。 财 妈 数 字 签名 是 针对 最 后 一 个 哈 布 指针 ( 它 约束 整个 结构 
中 所 有 的 数据 ) ， 并 将 签名 与 区 块 链 一 起 发 布 ， 见 图 1.11。 


之 前 的 哈 磊 指针 
HE 


之 前 的 哈 而 指针 
HI() 
交易 ID: 72 


之 前 的 喻 而 指针 
H 


i 

(Ob) 

交易 ID: 73 
某 一 笔 
交易 


在 财 妈 币 中 ， 只 有 在 由 财 妈 签名 的 区 块 链 的 交易 才 算数 。 任 何人 
都 可 以 通过 核查 财 奴 在 区 块 中 的 签名 来 验证 交易 是 否 经 过 财 奴 的 文 
持 ， 财 奴 会 确保 不 会 文 持 企 图 双重 文 付 ， 也 吏 是 不 会 文 持 已 经 文 付 过 
的 币 的 交易 。 


图 1.11 财 妈 币 系 统 中 的 区 块 链 


为 什么 除了 让 财 妈 签署 每 个 区 块 ， 我 们 还 需要 一 个 之 哈 希 指针 的 
区 块 链 ? 这 样 做 十 保证 仅 增 特性 。 因 为 财 妈 有 可 能 试图 增加 或 移 除 交 
易 记 录 ， 或 者 改变 已 有 交易 ， 而 一 旦 有 了 哈 布 指针 ， 将 会 影响 到 后 面 
所 有 的 区 块 。 只 要 有 人 监督 财 妈 发 布 的 最 新 哈 希 指针 ， 变 化 会 很 明 
显 ， 并 可 以 被 轻易 发 现 。 在 一 个 财 妈 分 别 签署 不 同 区 块 的 系统 中 ， 你 
需要 记录 他 签署 的 每 一 个 签名 。 采 用 区 块 链 ， 两 个 不 同 的 人 可 以 轻易 
验证 他 们 确实 观察 到 了 同样 的 ， 由 财 妈 签署 的 交易 记 杂 。 


财 妈 币 中 有 两 种 交易 。 第 一 种 是 造 币 (CreateCoins) ， 类 似 于 在 
高 飞 币 中 ， 高 飞 可 以 创建 新 币 的 程序 ， 而 财 奴 将 其 进行 了 扩展 ， 那 就 
是 可 以 在 一 次 交易 中 创建 多 个 币 量 ， 见 图 1.12。 


交易 ID: 73 


虚拟 货币 ID 73 (0) 
虚拟 货币 ID 73 (1) 
虚拟 货币 ID 73 (2 ) 


图 1.12 造 币 交易 
注 : 造 币 交易 创造 多 个 货币 。 每 一 个 货币 在 交易 中 都 有 一 个 序号 。 其 次 ， 每 一 个 货币 也 有 一 定 
的 数量 ， 来 对 应 某 个 妆 后 ， 每 一 个 货币 还 有 一 个 造 币 记录 ， 在 货币 被 制造 出 来 
的 时 候 对 应 的 公 铀 。 因 此 ， 造 币 交 易 创 造 了 多 个 不 同 数量 和 归属 于 不 同 拥有 者 的 新 货币 。 我 们 
将 这 些 货币 称 为 虚拟 货币 ID ， 指 的 是 该 次 交易 中 交易 ID 和 货币 序号 的 组 合 。 


| 


造 币 交易 如 末 古 由 财 妈 签署 ， 从 定义 上 说 它 尽 是 有 效 的 。 我 们 不 
会 担心 财 奴 什么 时 候 有 权 创 建新 币 或 者 可 以 创建 多 少 ， 正 如 我 们 不 担 
心 在 高 飞 币 中 ， 高 飞 可 以 创建 新 币 那 样 。 


第 二 种 交易 是 付 币 (PayCoins) 。 这 一 交易 会 消耗 币 ， 就 是 说 消除 
它们 ， 并 创建 具有 相同 总 值 的 新 币 。 新 币 可 能 属于 不 同 的 人 ( 公 


钥 ) ， 这 一 交易 必须 由 每 一 个 支付 该 币 的 人 来 进行 签署 。 因 此 ， 如 果 
你 古本 次 交易 中 将 会 消耗 的 某 只 币 的 所 有 人 ， 那 么 你 束 需 要 数字 签署 
该 交易 ， 表 明 你 同意 花 掉 这 只 币 。 


财 妈 币 的 规则 阐明 ， 如 果 以 下 四 个 条 件 为 真 ， 付 币 交 易 有 效 : 


e 被 消耗 的 币 为 有 效 货 币 ， 即 它们 是 在 之 前 的 交易 中 创建 的 。 

e 被 消耗 的 币 没有 在 之 前 的 某 交 易 中 被 消耗 挥 。 束 古 说 ， 本 次 
交易 不 是 双重 文 出 。 

e 本 次 交易 产生 的 币值 量 等 于 消耗 的 币值 量 ， 也 束 是 说 ， 只 有 
财 奴 才 可 以 创建 新 币 。 

e 本 次 交易 被 消耗 的 所 有 币 均 有 其 所 有 着 的 有 效 俭 普 。 


消耗 的 虚拟 货币 ID : 
68 (1), 42 (0), 72 (3) 


被 创造 的 货币 


图 1.13 付 币 交易 


如 果 所 有 条 件 者 满足， 那么 付 币 交易 有 效 ， 并 且 财 奴 会 接受 交易 
( 见 图 1.13) 。 他 会 通过 将 其 附加 到 区 块 和 链 上 ， 将 交易 写 入 历史 记录 。 
之 后 ， 每 个 人 都 可 以 看 见 区 易 发 生 了 “。 只 有 在 这 时 ， 参 与 考 才 可 以 接 


受 交 易 实 际 发 生 了 。 直 至 发 布 之 前 ， 它 都 可 能 是 一 个 修 双 重文 付 抢占 
的 交易 ， 即 使 前 三 个 条 件 都 被 满足 。 


这 个 系统 中 的 货币 是 不 可 变 的 一 一 它们 不 会 被 改变 、 细 分 或 者 联 
合 。 每 个 币 都 在 一 次 交易 中 被 创建 一 次 ， 然 后 在 之 后 的 其 他 交易 中 被 
消 耗 。 但 我 们 可 以 通过 交易 对 货币 进行 细 分 或 联合 ， 来 实现 相同 的 
效果 。 例 如 ， 为 了 细 分 一 只 币 ， 爱 丽 丝 创 建 了 消耗 该 币 的 新 交易 ， 然 
后 生成 了 两 个 具有 同样 总 值 的 新 币 ， 这 两 个 狐 币 可 以 再 次 分 配给 她 。 
因此， 虽然 在 本 系统 中 币 是 不 可 变 的 ， 但 是 它 具 有 除了 可 变 币 以 外 的 
系统 的 所 有 灵活 性 。 


现在 ， 我 们 来 看 一 下 财 妈 币 的 核心 问题 ， 财 妈 币 的 工作 原理 古人 
们 可 以 看 见 哪些 币 是 有 效 的 。 它 防止 双重 广 付 ， 因 为 每 个 人 部 可 以 但 
看 区 块 链 ， 看 到 所 有 交易 都 是 有 效 的 ， 每 一 只 币 确实 都 只 被 消耗 了 一 
次 ,但 其 问题 是 ， 财 奴 的 权利 太 大 了 。 他 虽然 不 能 创建 虚假 交易 ， 
为 他 无 法 伪造 其 他 人 的 签名 ,但 是 他 可 以 停止 支持 其 他 用 户 的 交易 ， 
不 为 他 们 提供 服务 并 让 他 们 的 货币 无 处 可 花 。 如 采 财 奴 是 信 梦 的 ( 正 
如 与 他 同名 的 卡通 形象 一 样 ) ， 他 可 以 拒绝 公开 交易 ， 除 非 其 他 人 向 
他 文 付 强制 性 交易 费 。 当 然 了 ， 财 妈 还 可 以 想 要 多 少 币 ， 束 给 他 目 己 
创建 多 少 。 或 者 财 公 也 可 能 厌倦 整个 系统 ， 因 此 完全 停止 更 新 区 块 
链 。 


这 里 的 问题 就 是 中 心 化 。 虽 然 财 奴 本 身 满意 这 个 系统 ， 我 们 用 户 
可 能 会 不 满意 。 财 奴 币 虽然 看 似 是 一 个 不 切实 际 的 方案 ， 但 是 在 很 多 
早期 的 密码 系统 研究 中 ， 确 实 假设 过 一 些 中 央 可 信和 机 构 ， 还 特别 锐 称 
为 银行 。 毕 葛 ， 绝 大 多 数 现实 世界 货币 的 确 有 可 信和 发 行人 ( 通 第 为 政 
府 造 币 厂 ) 负责 创建 货币 ， 并 决定 哪些 钱币 为 有 效 货币 。 但 是 ， 具 有 
中 央 机 构 的 加 密 货 币 纷纷 在 实践 中 失败 。 原 因 有 很 多 ， 回 头 来 看 ， 我 
们 似乎 很 难 让 人 们 接受 有 中 央 机 构 的 加 蜜 货币 这 个 事物 。 


因此 ， 为 改善 财 双 币 ， 并 建立 一 个 可 行 系统 ， 我 们 需要 解决 的 主 
要 技术 问题 是 : 我 们 是 否 能 让 系统 “去 财 妈 化”? 也 就 是 说 ， 我 们 是 否 能 
放弃 中 心 化 的 财 双 人 物 ? 我 们 能 够 有 一 个 在 很 多 方面 像 财 妈 币 一 样 运 
作 的 加 密 货 币 ， 但 没有 中 央 信 任 机 构 吗 ? 


为 回答 这 些 问 题 ， 我 们 需要 解决 所 有 用 户 如 何在 交易 历史 记录 发 
生 后 ， 一 致 同意 采用 一 个 公开 区 块 链 ， 他 们 必须 一 致 同意 哪些 交易 有 
效 、 哪 些 交 易 是 实际 发 生 了 。 他 们 还 需要 能 够 用 一 种 去 中 心 化 的 方式 
分 配 ID。 最 后 ， 新 币 的 铸造 也 需要 通过 去 中 心 化 的 方式 进行 掌控 。 如 
果 我 们 可 以 解决 所 有 这 些 问 题 ， 那 么 我 们 可 以 创建 一 个 如 同 财 奴 币 那 
样 的 货币 ， 但 确实 没有 中 心 化 的 机 构 。 实 际 上 ， 这 样 的 一 个 系统 就 与 
比特 币 非 常 相像 了 。 
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第 2 章 


比特 币 如 何 做 到 去 中 心 化 


在 这 一 章 ， 我 们 将 讨论 比特 币 如 何 做 到 去 中 心 化 。 在 第 1 章 中 ， 我 
们 讨论 了 比特 币 压 层 加 密 算法 的 基础 ， 最 后 我 们 谈 到 了 财 妈 币 。 作 为 
一 种 以 账本 为 基础 的 记 账 式 加 密 数 子 货币 ， 财 妈 系 统 已 经 做 得 确实 不 
音 了 ， 但 它 有 一 个 很 突出 的 问题 ， 那 吏 生 该 系统 非常 依赖 一 个 被 称 
为 “ 财 妈 ”的 中 心 化 权威 。 在 第 1 章 的 最 后 ， 我 们 提出 了 财 奴 币 去 中 心 化 
的 问题 ， 或 者 说 如 何 去 财 奴 化 。 在 本 对 ， 我 们 将 着 重 讨论 这 个 问题 。 


通读 完 本 章 ， 我 们 将 注意 到 比特 币 并 不 是 完全 使 用 纯 技 术 手 段 ， 
而 十 将 技术 手段 与 一 种 明和 剖 的 激励 机 制 相 结合 ， 做 到 了 去 中 心 化 。 本 
章 的 最 终 目 的 会 使 你 对 去 中 心 化 有 一 个 通 强 的 认识 ， 同 时 也 对 比特 币 
运作 机 制 有 所 了 解 ， 并 且 人 懂得 为 什么 比特 币 确实 是 安全 的 。 


2.1 中 心 化 与 去 中 心 化 


去 中 心 化 是 一 个 重要 概念 ， 这 个 概念 并 不 是 比特 币 独 有 的 特性 。 
在 各 种 数字 技术 领域 ， 中 心 化 与 去 中 心 化 两 派 的 竞争 也 越 来 越 多 见 。 
为 了 更 好 地 理解 竞争 模式 在 比特 币 里 的 表现 ， 我 们 有 必要 了 解 一 下 两 
派 竞 争 在 其 他 不 同 技 术 领 域 的 范 争 焦点 。 


互联 网 其 实 束 是 一 个 著名 的 去 中 心 化 系统 。 但 在 早期 ， 互 联网 是 
在 与 美国 在 线 (American On-Line， 简 称 AOL) 以 及 CompuServe [等 
围墙 花园 式 信息 服务 体系 的 苋 争 中 ， 了 逐步 变 得 越 来 越 风 行 。 电 子 邮件 
的 实质 也 是 一 种 简单 邮件 传输 协议 (Simple Mail Transfer Protocol， 简 
称 SMTP) 的 去 中 心 化 系统 。 尽 管 电 子 邮 件 也 受到 像 脸 书 
(Facebook) 、 领 英 (LinkedIn) 这 些 中 心 化 私有 信息 系统 邮箱 服务 体 
系 的 挑战 ， 但 电子 邮件 仍然 是 人 与 人 之 间 进 行 通信 的 一 种 被 默认 的 选 
择 。 其 实 ， 我 们 已 经 不 能 简单 将 像 即时 短信 或 者 短信 等 通信 手段 归 类 
为 是 中 心 化 ， 或 者 是 去 中 心 化 模式 ， 这 些 通信 方式 往往 是 一 种 混合 模 
式 。 在 社交 网 络 中 ， 尽 管 有 很 多 爱好 者 、 技 术 开 发 人 员 ， 甚 至 还 有 企 
业者 也 在 尝试 用 去 中 心 化 的 方式 来 替代 像 脸 书 、 领 英 这 样 的 中 心 化 系 
统 ， 但 目前 这 些 中 心 化 系统 仍 具 统治 地 位 。 事 实 上 ， 中 心 化 与 去 中 心 
化 的 苋 争 在 数字 时 代 之 前 就 已 经 存在 ， 在 电话 、 无 线 电 、 电 视 及 电影 
的 发 展 史 上 ， 我 们 都 曾 看 到 过 这 两 种 模式 的 竞争 。 


中 心 化 与 去 中 心 化 也 并 非 水 火 不 容 ， 其 实 没有 一 个 系统 是 完全 中 
心 化 ， 或 者 是 完全 去 中 心 化 的 。 比 如 ， 电 子 邮件 其 实 是 一 个 去 中 心 化 
系统 ， 它 基于 一 个 标准 的 中 心 化 协议 SMTP， 任 何人 只 要 愿意 ， 都 可 
以 设计 一 个 目 己 的 电子 邮件 服务 器 。 但 实际 情况 是 ， 只 有 一 小 部 分 电 
子 邮件 服务 商 在 这 个 领域 占据 着 统治 地 位 。 类 似 ， 虽 然 比 特 币 系统 是 


去 中 心 化 的 ， 但 比特 币 交 易 所 〈 将 比特 币 转换 成 其 他 货币 的 平台 ) 、 
钱包 软件 以 及 用 户 管理 比特 币 的 软件 ， 可 以 是 中 心 化 的 ， 也 可 以 是 去 
aE He 


有 了 以 上 的 考虑 ， 我 们 把 比特 币 如 何 做 到 去 中 心 化 这 个 问题 拆 解 
为 下 面 五 个 问题 : 


1. 谁 在 维护 交易 账本 ? 

2. 谁 有 权利 批准 哪个 交易 是 正当 有 效 的 ? 

3. 谁 在 制造 新 的 比特 币 ? 

4. 谁 在 制定 系统 变化 规则 ? 

5. 比 特 币 是 如 何 取得 交易 价值 的 ? 

前 三 个 问题 反映 了 比特 币 协议 的 技术 细节 ， 我 们 将 在 本 章 重 点 讨 


比特 币 系 统 的 不 同方 面 是 从 不 同 点 涉及 了 中 心 化 及 去 中 心 化 。 扣 
对 点 网 络 是 最 接近 去 中 心 化 的 体系 ， 任 何 一 个 人 都 可 以 运行 一 个 比特 
币 市 点 ， 而 且 基 本 没有 什么 入 M1 门槛 ， 用 户 只 需要 上 网 下 载 一 个 比特 
币 客 户 端 ， 就 可 以 在 其 个 人 电脑 上 运行 一 个 节点 ， 现 在 全 球 有 成 千 上 
万 个 这 样 的 节点 。 在 本 间 2.4 市 中 我 们 将 要 学 习 比 特 币 挖 矿 (bitcoin 
mining) ， 从 技术 上 讲 ， 挖 矿 过 程 也 是 向 所 有 人 开放 的 ， 但 挖 矿 需 要 
很 多 资金 投入 。 正 因为 如 此 ， 挖 矿 领域 具有 非常 高 的 中 心 化 及 控 矿 能 
力 集中 的 倾 癌 。 比特 币 社区 里 有 许多 人 认为 这 种 现象 并 不 可 取 。 人 第 三 
点 是 天 于 比特 币 运行 节点 软件 的 更 新 ， 这 涉及 何 时 以 及 如 何 更 新 系统 
规则 。 大 家 可 以 想象 ， 束 像 电子 邮件 系统 那样 ， 这 些 节 点 可 能 有 各 种 
根据 相同 方式 但 通过 不 同 手段 实现 的 不 同 版 本 。 但 在 实际 上 ， 绝 大 多 


数 丰 点 用 的 都 是 社区 里 被 大 家 公认 的 有 权威 的 货 深 开发 者 开发 出 来 的 
软件 。 


[1] CompuServe， 美 国 最 大 的 在 线 信 息 服务 机 构 之 一 。CompuServe 产 品 于 1979 年 问世 ， 
它 提供 留言 板 、 新 闻 和 信息 、 电 子 商务 以 及 其 他 类 似 网 络 功能 的 服务 。 这 款 产品 的 问世 时 间 
远 远 早 于 网 络 。 美 国 在 线 在 20 世 纪 90 年 代 早 期 的 崛起 ， 使 得 CompuServe 退 居 美 国 第 二 大 在 线 
服务 商 。 不 久之 后 ，CompuServe 不 得 不 同 互联 网 进行 竞争 ， 它 变 成 了 一 个 不 那么 令 人 满意 的 
互联 网 服务 提供 商 。 而 且 ， 随 着 用 户 更 多 地 使 用 互联 网 ，CompuServe 风 光一 时 的 留言 板 也 开 
始 被 人 抛弃 。1997 年 ， 美 国 在 线 收购 了 CompuServe。 正 如 网 景 一 样 ，CompuServe 成 为 美国 在 
线 用 在 其 他 产品 上 的 标示 。 现 在 ，CompuServe 只 是 一 个 半 门 户 网 站 。 一 一 译 者 注 


2.2 分 布 式 共 识 


在 前 一 节 ， 我 们 笼统 地 讨论 了 去 中 心 化 和 中 心 化 。 现 在 我 们 从 一 
个 更 为 技术 性 的 层面 看 一 下 比特 币 的 去 中 心 化 。 接 下 来 ， 我 们 会 遇 到 
一 个 被 称 作 “ 共 识 ”(consensus) 的 重要 概念 ， 特 别 地 ， 还 有 “分 布 式 共 
识 ” (distributed consensus) 。 建 立 一 个 分 布 式 的 电子 现金 系统 的 关键 
技术 问题 ， 就 在 于 要 达成 分 布 式 共识 。 直 观 地 说 ， 你 可 以 想象 我 们 的 
目标 就 是 要 将 第 1 章 提 到 的 财 妈 币 去 中 心 化 。 


分 布 式 共识 有 各 种 应 用 ， 计 算 机 办 对 其 也 研究 了 多 年 ， 传 统 具 有 
局 发 式 的 应 用 就 是 提高 分 布 式 系统 的 可 靠 性 。 设 想 你 在 管理 一 个 社交 
网 络 公 司 的 后 端 平 台 ， 比 如 微 信 ， 像 这 样 庞 大 的 系统 通 季 有 几 千 合 甚 
至 儿 万 台 上 服务 硼 ， 这 些 服务 瑚 组 成 了 一 个 巨大 的 分 布 式 数据 库 ， 数 据 
库 中 记录 了 这 个 系统 里 发 生 的 各 种 活动 ， 而 每 条 信息 都 会 被 记录 在 后 
端的 耕 干 个 太太 上 ， 对 于 整个 系统 的 状态 ， 这 些 太 把 必 须要 做 到 同 
ws 


分 布 式 共识 协议 的 意义 远 远 超 出 了 传统 意义 的 范畴 。 一 旦 具备 了 
这 样 的 体系 ， 我 们 就 可 以 建立 一 个 庞大 的 分 布 式 键 值 (key-value) 存 
储 库 ， 该 类 存储 库 可 以 将 任意 数据 如 身高 、 名 字 等 对 应 一 个 相应 的 开 
局 键 ， 基 于 此 ， 许 多 应 用 得 以 实现 。 例 如 ， 我 们 可 以 建立 一 个 分 布 式 
域名 系统 ， 将 人 脑 易于 理解 的 域名 与 1P 地 址 进行 配对 ， 我 们 也 可 以 建立 
一 个 公 钥 目录 ， 这 个 目录 可 以 把 公 钥 与 电邮 地 址 (或 者 其 他 真实 世界 
中 的 身份 证 明 ) 对 应 起 来 。 


以 上 讨论 在 直觉 上 说 明了 分 布 式 共 识 的 大 概 含义 。 对 于 分 布 式 共 
识 ， 我们 还 是 要 给 出 一 个 技术 定义 ， 以 此 我 们 可 以 判别 一 个 协定 是 否 
符合 分 布 式 共识 的 要 求 。 


分 布 式 共识 协议 在 一 个 有 n 个 节点 的 系统 中 ， 每 一 个 节点 都 
有 一 个 输入 值 ， 其 中 一 些 节 点 具有 故障 ， 甚 至 是 恶意 的 。 一 个 分 布 
式 共识 协议 有 以 下 两 个 属性 : 

e 输入 值 的 中 止 须 经 所 有 诚实 市 点 来 确定 。 

e 这 个 输入 值 必须 由 诚实 节点 来 生成 。 


那么 以 上 概念 在 比特 币 里 又 是 什么 含义 呢 ? 想 要 理解 分 布 式 共识 
在 比特 币 中 的 用 途 ， 我 们 需要 记 住 比 特 币 是 个 点 对 点 的 系统 。 当 爱丽 
丝 同 鲍 动 付款 的 时 候 ， 她 其 实 是 在 癌 构 成 比特 币 网 络 上 的 所 有 市 点 广 
播 其 交易 行为 ， 见 图 2.1。 


爱丽 丝 签名 


支付 给 鲍 勃 的 公 钥 : H ( ) 


图 2.1 广播 交易 
注 ， 为 了 向 鲍 勃 付款 ， 爱 丽 丝 需要 向 整个 比特 币 点 对 点 网 络 进行 广播 。 


顺便 提 一 下 ， 你 可 能 注意 到 ， 当 爱丽 丝 向 整个 比特 币 点 对 点 系统 
广播 时 ， 鲍 盈 的 计算 机 并 不 一 定 在 图 2.1 的 网 络 中 。 当 然 鲍 盈 也 有 可 能 
在 这 个 网 络 上 运行 着 一 个 节点 ， 如 果 鲍 动 想 在 爱丽 丝 转 币 给 他 时 及 时 
被 系统 通知 ， 运 行 一 个 节点 当然 是 个 好 主意 ， 但 其 实 这 并 不 重要 ， 鲍 
乙 古 否 运行 太 扩 并 不 影响 他 收 到 爱丽 丝 转 给 他 的 比特 币 。 


在 比特 币 网 络 里 ， 区 氮 到 搬 要 达成 什么 样 的 共识 呢 ? 网 络 里 有 各 
种 各 样 的 用 户 在 癌 网 络 广 播 交 易 ， 节 所 必须 对 哪些 交易 可 以 进行 广播 
和 交易 发 生 的 次 序 达 成 共识 ， 以 此 系统 将 形成 一 个 唯一 的 全 球 交易 总 
账 。 回 想 我 们 在 第 1 间 1.5 市 中 曾 提 到 的 财 奴 币 将 交易 打包 成 块 ， 对 信息 


进行 优化 处 理 。 类似 地 ， 在 比特 币 体系 里 ， 我 们 也 将 每 个 区 块 进行 共 
识 处 理 。 


在 任何 时 点 ， 所 有 在 点 对 所 网 络 上 的 让 上 把 部 有 包含 一 系列 区 块 的 
忆 账 本 ， 每 个 区 块 中 都 包公 了 已 经 被 所 有 市 点 达成 共识 的 交易 清单 。 
除 此 之 外 ， 每 个 市 点 还 有 一 堆 没 有 被 打包 进入 区 块 的 交易 ， 束 是 那些 
网 络 市 上 反 已 经 被 通知 、 交 易 已 经 发 生 ， 但 还 没有 被 写 进 区 块 的 交易 。 
网 络 市 把 对 于 这 些 交 易 还 没有 达成 共识 ， 所 以 每 个 太 点 部 有 一 个 略 有 
荆 异 、 尚 待 确 认 的 交易 池 。 在 实际 中 ， 点 对 点 网 络 是 不 完美 的 ， 所 以 
有 些 让 点 听 到 了 交易 ， 而 有 些 市 后 却 没有 听 到 。 


那么 ， 所 有 的 让 点 十 如 何 对 一 个 区 块 达成 共识 的 呢 ? 一 个 方法 
古 ， 在 一 个 时 间 段 里 ， 比 如 说 每 隅 十 分 钟 ， 每 个 太 反 都 提 议 ， 目 己 的 
未 被 认可 的 交易 成 为 已 经 达成 共识 的 区 块 链 后 面 的 下 一 个 区 块 ， 然 后 
那些 斑点 会 执行 一 些 共识 协议 ， 每 个 节点 把 目 己 提议 的 区 块 作为 输 
入 。 但 不 可 避免 地 ， 有 些 节 点 可 能 是 恶意 的 ， 存 心 要 把 不 当 交 易 放 进 
区 块 里 ， 其 他 市 点 则 是 诚实 的 。 如 果 共 识 协 议 能 够 顺利 完成 ， 一 个 正 
当 有 效 的 区 块 会 被 迁 作 输 出 值 。 尽 管 有 些 被 光 出 的 区 块 是 由 一 个 市 抬 
提交 ， 但 只 要 这 个 区 块 是 正当 有 效 的 ， 输 出 束 古 正当 有 效 的 。 这 时 候 
可 能 有 人 会 指出 ， 这 个 被 选 出 的 区 块 可 能 未 包含 所 有 的 正当 有 效 的 交 
易 ， 但 这 并 没有 关系 ， 如 果 有 些 正当 有 效 的 交易 没 被 放 进 区 块 ， 它 们 
可 以 等 得 下 一 次 机 会 。 


前 面 所 谈 到 的 这 个 办 法 与 比特 币 系 统 有 些 相似 之 处 了 ， 但 实质 还 
征 不 完全 一 样 。 以 上 做 法 有 几 个 技术 上 的 问题 : 第 一 ， 达 成 共识 一 般 
征 个 难题 ， 因 为 有 些 世 点 会 死机 或 是 根本 就 是 恶意 万 点 ;第 二 ， 束 比 
特 币 而 言 ， 点 对 点 网 络 是 不 完美 的 ， 并 非 所 有 对 应 的 节点 是 两 两 相连 
的 ， 互 联网 链接 的 不 展 可 能 会 造成 网 络 问题 ， 要 执行 一 个 所 有 节点 都 
参与 的 共识 协议 好 像 并 不 现实 ;第 三 ， 由 于 交易 信息 是 分 布 在 整个 互 
联网 上 ， 信 息 传 递 会 有 严重 延迟 。 
| 


延迟 与 全 球 时 间 


比特 币 协议 达成 共识 时 必须 直面 两 大 障碍 : 其 一 是 不 完美 网 
络 ， 例 如 信息 延迟 和 节点 死机 ， 其 二 是 某 些 故意 搞 破 坏 的 节点 。 

产 重 网 络 延 迟 寻 致 的 一 个 后 果 征 ， 万 点 之 间 没 有 一 个 统一 的 全 
球 时 间 概 念 。 意 思 是 ， 并 非 所 有 区 点 都 能 根据 每 个 交易 的 时 间 稚 来 


达成 交易 时 间 共 识 ， 因 此 ， 共 识 协议 不 能 执行 以 下 指令 :“ 在 第 一 
步 里 发 了 第 一 个 消息 的 节点 必须 在 第 二 步 里 执行 X。” 这 一 做 法 根本 
无 法 执行 ， 因 为 所 有 的 节点 对 于 谁 在 第 一 步 中 发 出 第 一 个 信息 有 不 
同 的 看 法 。 


在 全 球 时 间 上 的 不 统一 ， 给 共识 协议 算法 带 来 了 很 多 限制 。 事 实 
上 ， 由 于 这 些 限制 ， 许 多 关于 分 布 式 共 识 的 文献 都 对 是 否 能 达成 共识 
持 悲 观 态 度 ， 有 许多 达成 共识 具备 不 可 能 性 的 结论 已 经 被 证 实 。 一 个 
经 典 案例 就 是 “拜占庭 将 军 问题 ”\Byzantine Generals Problem) ， 这 个 
经 典 难题 是 这 样 前 述 的 : 拜占庭 是 东 罗 马 帝 国 的 首都 ， 它 的 军队 分 成 
多 个 师 ， 每 个 师 都 由 一 个 将 军统 领 。 这 些 将 军 通过 信使 进行 交流 ， 来 
达成 一 个 共同 作战 方案 ， 有 些 将 军 可 能 是 叛徒 ， 想 故意 破坏 这 个 过 
程 ， 这 会 造成 那些 忠诚 的 将 军 也 无 法 达成 一 个 统一 的 作战 计划 。 解 决 
这 个 难题 的 办 法 就 是 让 那些 忠诚 的 将 军 在 这 样 的 情况 下 达成 统一 作战 
方案 ， 而 避 人 免 那 些 叛 徒 对 作战 方案 的 误导 。 事 实证 明 ， 如 果 叛 徒 数量 
超过 1/3 时 ， 这 个 难题 将 无 法 克服 ， 那 些 忠臣 的 计划 终 会 被 叛徒 们 破 
坏 。 


还 有 一 个 更 为 微妙 的 关于 不 可 能 性 的 结论 ， 这 就 是 著名 的 “Fischer- 
Lynch-Paterson 不 可 能 结果 ”[1] ， 该 名 称 以 最 初 的 作者 而 命名 。 该 结 
指出 ， 在 一 定 的 条 件 下 (包括 市 后 行为 具有 确定 性 特征 ) ， 甚 至 在 只 
有 一 个 缺陷 的 过 程 中 ， 达 成 共识 都 是 不 可 能 的 。 


尽管 有 这 些 “ 不 可 能 性 结论 "， 还 是 有 文献 谈 到 了 一 些 共识 协议 。 比 
较 著 名 的 就 是 Paxos 算 法 协议 。Paxos 算 法 做 了 一 些 受 协 ， 一 方面 ， 
Paxos 算 法 能 做 到 不 产生 不 一 致 的 结 末 ; 另 一 方面 ，Paxos 算 法 所 做 的 区 
协 是 ， 在 一 定 条 件 下 (虽然 是 不 常见 的 情形 ) ， 该 协议 会 死机 卡 住 ， 
从 而 无 法 继续 运行 。 


打破 传统 上 的 假设 


但 好 消 居 是 ， 这 些 所 请 的 “不 可 能 性 结论 ”都 古 在 一 些 特定 的 模式 下 
才 成 立 ， 这 些 结论 是 针对 分 布 式 数据 库 的 研究 ， 这 些 模型 不 能 完全 套 
用 到 比特 币 身 上 来 ， 比 特 币 本 吴 吏 打破 了 很 多 原来 分 布 式 数据 库 所 做 
的 假设 。 这 些 结论 其 实 从 某 一 方面 让 我 们 更 明白 了 那些 特定 模式 ， 由 
此 或 许可 以 真正 对 分 布 式 共识 给 出 解决 方案 。 


具有 讽刺 意义 的 是 ， 就 目前 对 共识 的 研究 来 说 ， 比 特 币 实际 运行 
情况 下 远 比 理论 上 告诉 我 们 的 要 好 得 多 ， 这 殊 古 比特 币 让 专家 们 跌 破 
服 镜 之 处 。 我 们 看 到 分 布 式 共识 在 比特 币 里 运行 民 好 ， 但 我 们 还 没有 
建立 理论 来 充分 解释 为 什么 会 这 样 ， 但 无 论 如 何 ， 完 善 理 论 对 将 来 的 
发 展 还 十 十 分 重要 的 ， 理 论 结 末 可 以 使 我 们 预测 ， 甚 至 预防 未 来 可 能 
的 攻击 和 问题 。 我 们 一 旦 具备 了 较 强 的 理论 依据 ， 来 解释 比特 币 分 布 
式 共识 的 民 好 运作 机 制 ， 我 们 才能 真正 地 对 比特 币 的 安全 性 和 稳定 性 
做 出 保证 。 


比特 币 到 确 打 破 了 经 典 模型 里 的 哪些 假设 呢 ? 第 一 ， 比 特 币 引进 
了 奖励 的 理念 ， 这 对 分 布 式 共识 协议 来 说 是 一 个 全 新 的 理念 ， 这 也 只 
有 在 比特 币 里 才 可 能 实现 ， 因 为 比特 币 也 是 个 货币 ， 所 以 人 们 目 然而 
然 地 会 为 了 金钱 奖励 而 变 得 诚实 起 来 。 所 以 ， 比 特 币 并 没有 真正 解决 
分 布 式 共识 问题 ， 它 只 坪 在 特定 货币 系统 下 解决 了 这 个 问题 而 已 。 


第 二 ， 比 特 币 体系 包含 随机 性 这 个 概念 。 在 后 面 两 节 里 我 们 将 会 
看 到 ， 比 特 币 的 共识 算法 很 大 程度 上 依赖 于 随机 性 。 此 外 ， 它 也 不 再 
纠结 于 规定 共识 的 起 点 与 终点 。 相 反 ， 共 识 是 通过 一 段 较 长 的 时 间 而 
达成 的 ， 在 实际 系统 中 ， 达 成 共识 大 约 需 要 一 个 小 时 左右 。 但 即使 在 
一 个 小 时 以 后 ， 区 点 们 也 无 法 确定 哪 一 个 交易 块 应 该 进入 总 账本 。 但 
随 着 时 间 的 流逝 ， 我 们 对 某 一 个 块 的 认识 与 最 终 总 体 共识 相 吻 合 的 概 
率 将 越 来 越 大 ， 观 点 出 现 分 疏 的 概率 按 指数 级 下 降 。 比 特 币 在 以 上 方 
面 的 不 同 ， 让 它 能 够 逾越 传统 理论 关于 分 布 式 共 识 不 可 达成 这 一 鸿 
沟 。 


[1] Fischer-Lynch-Paterson 不 可 能 结果 ， 是 Michael J. Fischer、Nancy A. Lynch 和 Michael S. 
Paterson 在 论文 Impossibility of distributed consensus with one faulty process 中 证 明 的 一 个 结论 ， 
称 得 上 是 分 布 式 理论 中 最 为 深刻 的 结论 ， 大 致 表述 如 下 : “在 一 个 多 进程 异步 系统 中 ， 只 要 有 
一 个 进程 不 可 靠 ， 那么 就 不 存在 一 个 协议 ， 此 协议 能 保证 有 限时 间 内 使 所 有 进程 达成 一 
致 。“ 一 译 者 注 


2.3 使 用 区 块 链 达成 没有 身份 的 共识 


在 这 一 节 里 ， 我 们 将 探讨 比特 币 共 识 算法 的 技术 细节 。 回 忆 一 
下 ， 我 们 在 前 面 曾 说 过 ， 比 特 币 中 的 每 个 节点 并 没有 一 个 稳定 的 、 长 
期 的 喘 份 ， 这 一 点 也 是 与 传统 分 布 式 共识 算法 的 不 同 之 处 。 身 份 忠 失 
的 原因 是 ， 在 一 个 点 对 点 网 络 中 ， 没 有 一 个 中 央 权 威 机 构 来 发 放 寻 
份 ， 并 保证 它们 没有 制造 节点 。 用 技术 术语 来 说 ， 乱 造 世 点 瓯 是 所 谓 
的 “女巫 攻击 ”(\sybil attack) 现象 。 女 巫 就 是 恶意 墨客 制造 的 不 同 世 
点 ， 这 些 市 点 看 起 来 像 是 对 应 不 同 的 映 份 的 人 ， 其 实 是 由 一 个 人 在 幕 
后 控制 。 另 一 个 原因 是 化 名 制 (pseudonymity) ， 也 是 比特 币 想 达 到 的 
一 个 目标 ， 所 以 即使 可 以 苦 所 有 市 点 建立 唯一 真实 身份 ， 我 们 也 不 想 
那样 做 。 虽 然 比特 币 还 是 不 能 保证 真正 的 匿名 ， 一 个 用 户 用 不 同 寻 份 
做 的 不 同 交 易 还 是 有 办 法 被 最 终 追 踪 到 ， 但 比特 币 的 特性 毕竟 没有 强 
迫 大 家 用 真实 号 份 来 加 入 。 这 是 比特 币 的 重要 特性 ， 也 是 比特 币 系 统 
的 核心 理念 。 


如 果 所 有 区 点 都 有 真实 号 份 的 话 ， 那 么 设计 上 会 更 加 容易 。 有 了 
真实 身份 ， 我 们 惑 能 够 以 这 样 的 方式 发 出 协议 指令 ， 比 如 “编号 最 小 的 
广 太 开始 做 菏 些 动作 ”， 在 没有 真实 喘 份 前 提 下 ， 系 统 能 设计 的 指令 骂 
受到 很 多 限制 ， 但 设计 真实 身份 最 主要 的 考虑 是 安全 上 的 便利 。 如 采 
节 扩 的 映 份 可 以 被 识别 ， 束 不 能 随便 地 制造 新 的 市 态 喘 份 出 来 。 那 样 
的 话 ， 我 们 束 可 以 假设 有 恶意 节点 的 数量 ， 然 后 部 署 安 全 措施 来 防 
范 。 基 于 以 上 原因 ， 缺 少 真 实 身 份 给 比特 币 的 共识 协议 带 来 很 多 难 
点 。 


我 们 可 以 做 一 个 较 弱 的 理论 假设 来 弥补 这 个 先天 的 不 足 。 假 设 我 
们 可 以 在 系统 里 随意 选 一 个 节点 ， 一 个 比较 好 的 比喻 是 一 一 就 如 同 在 
彩票 上 站， 或 是 在 任何 一 个 难以 辨别 每 个 人 身份 的 系统 中 ， 我 们 给 每 一 


位 顾客 发 出 彩票 或 是 一 个 识别 牌 ， 之 后 我 们 束 可 以 开始 抽奖 ， 与 天 与 
对 应 的 人 就 会 中 奖 。 现 在 我 们 想象 一 下 在 比特 币 的 世界 里 ， 我 们 假设 
也 可 以 做 到 这 一 点 。 我 们 再 假设 ， 这 个 彩票 的 印 制 过 程 与 发 放 办 法 是 
足够 聪明 的 ， 如 果 一 个 黑客 想 制造 出 许多 女 琴 入 扣 来， 最 后 所 有 这 些 
节点 也 只 能 拿 到 一 张 彩 票 。 也 就 是 说 ， 这 个 黑客 无 法 通过 制造 假 的 也 
点 来 增强 他 的 力量 。 如 采 你 觉得 我 们 做 的 假设 太 多 了 ， 请 不 要 担心 ， 
我 们 在 以 后 会 消除 这 些 假设 ， 并 在 后 文 会 详细 说 明 ， 在 比特 币 系 统 
中 ， 与 这 些 假设 相对 应 的 性 质 是 如 何 实现 的 。 


对 随意 节点 选择 的 假设 可 以 让 “ 隐 性 共识 ”(inplicit consensus) 成 
为 可 能 。 我 们 的 共识 协议 有 多 个 回合 ， 每 个 回合 都 对 应 着 区 块 链 里 的 
一 个 块 。 在 每 一 个 回合 里 ， 一 个 随机 节点 会 被 选中 ， 然 后 这 个 节点 可 
以 提议 这 个 链 的 下 一 个 区 块 。 这 时 没有 共识 算法 ， 也 没有 任何 投票 过 
程 来 决定 哪个 区 块 会 被 选中 ， 随 机 被 选中 的 节点 会 直接 决定 区 块 链 的 
下 二 个 区 块 ; 但 万 二 这 个 节 氮 是 恶意 的 呢 ? 针对 这 个 问题 ， 还 是 有 应 
对 办 法 的 ， 解 决 方法 就 是 隐 性 共识 。 其 他 节点 可 以 通过 隐 性 地 接受 或 
是 拒绝 前 面 这 个 被 随机 选择 出 来 的 节点 。 如 果 接 受 ， 它 们 会 在 这 个 块 
之 后 接龙 下 去 ;， 如果 拒绝 ， 它 们 忽略 这 个 新 的 区 块 ， 而 是 选择 前 一 曾 
经 接受 的 区 块 ， 来 继续 接龙 下 去 。 大 家 还 记得 ， 每 一 块 都 记录 着 前 一 
块 的 哈 希 值 。 这 就 是 节点 选择 在 哪 一 块 来 继续 接龙 的 技术 处 理 方式 : 
比特 币 共 识 算法 〈 简 化 版 ) 。 


这 个 算法 的 简化 假设 钙 ， 可 以 随意 选择 一 个 节点 ， 这 些 证 点 都 
不 会 受到 女巫 攻击 的 影响 。 


1. 新 的 交易 被 广播 到 所 有 世 点 上 。 
2. 每 个 斑点 都 将 新 的 交易 放 进 一 个 区 块 。 


3. 在 每 个 回合 ， 一 个 随机 的 节点 可 以 广播 它 的 区 块 。 

4. 其 他 市 点 可 以 选择 接受 这 个 区 块 ， 前 提 古 如 果 区 块 里 的 交易 
都 是 正当 的 (有 真 的 签名 ) 。 

5. 斑 点 们 可 以 把 以 上 区 块 的 哈 布 值 放 进 目 己 的 区 块 里 ， 以 此 来 
表示 它们 对 那个 新 区 块 的 认可 。 


我 们 现在 一 起 来 钱 究 一 下 为 什么 这 样 一 个 共识 算法 是 有 效 的。 为 
此 ， 我 们 假设 有 一 个 叫 爱 丽 丝 的 黑客 ， 她 想 要 破坏 这 个 共识 过 程 。 


窃取 比特 币 


爱丽 丝 能 够 窃取 属于 另 一 个 用 户 ， 不 受 她 控制 的 地 址 里 的 比特 币 
吗 ? 答案 是 否定 的 。 即 使 这 一 轮 生 由 爱丽 丝 提议 区 块 链 上 的 下 一 个 区 
块 ， 她 也 不 可 能 窃取 别人 的 比特 币 。 这 么 做 的 话 ， 爱 丽 丝 需要 发 起 
笔 有 效 的 交易 来 化 挥 这 个 比特 币 。 这 束 要 求爱 丽 丝 伪 造 比 特 币 拥有 者 
的 签名 ， 然 而 如 条 数字 签名 机 制 是 安全 的 ， 她 是 无 法 办 到 的 。 只 要 青 
后 的 密码 学 基础 是 牢靠 的 ， 她 就 无 法 轻易 窃取 比特 币 。 


拒绝 服务 攻击 


让 我 们 来 考虑 另 一 种 攻击 。 假 设 爱 丽 丝 不 喜欢 叫 鲍 靳 的 某 个 用 
尸 ， 爱 丽 丝 可 以 决定 她 不 把 鲍 劲 发 起 的 任何 交易 放 进 她 所 提议 的 区 块 
里 。 换 诗 之 ， 她 拒绝 提供 服务 给 鲍 蕊 。 尺 绾 这 十 爱丽 丝 可 以 开展 的 有 
效 的 攻击 ， 但 幸好 这 不 过 是 个 小 问题 。 如 末 鲍 动 的 交易 没有 侯 放 进 爱 
丽 丝 所 提议 的 下 一 个 区 块 ， 印 支 只 要 等 到 下 一 个 诚实 市 点 发 起 区 块 的 
时 候 ， 他 的 交易 记录 束 会 被 放 进 这 个 区 块 里 。 所 以 这 其 实 也 不 算是 一 
个 有 效 的 攻击 。 


双重 支付 攻击 


江 涨 


爱丽 丝 也 可 能 会 发 起 一 个 双重 文 付 攻击 。 要 理解 爱丽 丝 如 何 发 起 
这 种 攻击 ， 我 们 可 以 假设 爱丽 丝 是 鲍 勃 开 的 网 店 或 网 站 的 一 名 顾客 。 
鲍 勃 提供 一 些 比特 币 付 费 的 在 线 服 务 ， 比 如 软件 下 载 。 双 重文 付 攻击 
年 这 样 的 : 爱丽 丝 在 鲍 动 的 网 站 远 中 一 件 商品 并 加 入 购物 车 中 ， 此 时 
服务 右 要 求 付 球 。 人 然后， 爱丽 丝 在 她 的 地 址 上 癌 鲍 盈 的 地 址 发 起 了 一 
笔 比 符 币 交易 ， 并 问 整 个 网 络 三 播 这 笔 交 易 。 我 们 假设 由 某 个 诚实 市 
扩 来 制造 下 一 个 区 块 ， 并 把 这 笔 多 易 放 进 这 个 区 块 中 。 因 此 ， 现 在 束 
有 了 一 个 由 诚实 太 扩 发 起 ， 包 仿 代 表 爱 丽 丝 同 商 家 鲍 芭 文 付 这 笔 交 易 
在 内 的 区 块 了 。 


我 们 还 记得 一 个 交易 藉 是 一 个 数据 结构 ， 里 面 有 爱丽 丝 的 数字 等 
名 ， 一 个 付 给 鲍 勃 的 公 钥 (地 址 ) 的 指令 和 一 个 哈 希 值 。 这 个 哈 希 值 
代表 了 一 个 指针 ， 指 向 先前 的 一 笔 多 易 的 输出 ， 即 爱丽 丝 之 前 收 到 并 
于 现在 消费 比特 币 。 这 个 指针 必须 指 同一 个 已 被 共识 链 上 的 茶 个 之 前 
的 区 块 所 认可 的 交易 。 


顺便 说 一 下 ， 有 两 种 容易 混 清 的 不 同类 型 的 哈 布 指针 。 一 种 十 在 
区 块 内 用 来 表示 接 在 之 前 哪个 区 块 后 面 的 哈 希 指针 改 一 种 是 在 交易 
里 的 一 个 或 多 个 ， 用 来 指 癌 之 前 交易 里 说 明 比 特 币 来 源 的 哈 希 指针 。 


我 们 回 到 爱丽 丝 如 何 发 起 双重 文 付 攻击 这 个 问题 。 最 新 的 一 个 区 
块 由 一 个 诚实 节点 产生 ， 其 中 包含 爱丽 丝 下 载 软件 癌 鲍 芭 付 费 的 交易 
记录 。 当 看 到 这 笔 交 易 被 放 入 区 块 链 后 ， 鲍 勃 认为 爱丽 丝 已 经 向 他 付 
球 ， 便 允许 爱丽 丝 下 载 软件 。 假 设 在 下 一 个 回合 被 随机 选中 的 市 后 恰 
巧 被 爱丽 丝 所 控制 。 现 在 因为 爱丽 丝 可 以 提议 下 一 个 区 块 ， 她 可 以 移 
择 忽 略 掉 前 面 那个 包含 她 支付 给 鲍 动 的 那 笔 交 易 的 区 块 ， 而 产生 一 个 
包含 指 同 之 前 区 块 指 针 的 区 块 。 不 仅 这 样 ， 在 这 个 区 块 里 ， 爱 丽 丝 可 
以 放 进 一 笔 交 易 ， 把 她 付 给 鲍 动 的 币 转 到 一 个 说 她 所 控制 地 址 里 去 。 
这 整 是 一 个 经 典 的 双重 支付 攻击 。 因 为 这 两 个 交易 用 的 是 同一 个 币 ， 
只 有 一 个 交易 可 以 被 放 进 区 块 链 。 所 以 如 和 爱丽 丝 成 功 地 把 币 转 到 她 


控制 的 地 址 ， 合 鲍 劲 的 区 易 记 录 将 变 得 无 效 ， 因 为 它 将 不 
会 被 放 进 区 块 链 里 。 这 一 过 程 详 见 图 2.2。 


Ht 


图 2.2 双重 支付 攻击 


注 : 爱丽 丝 创建 了 两 笔 交 易 : 一 笔 是 她 付 给 鲍 勃 比特 币 的 交易 ， 另 一 笔 是 她 将 这 笔 比 特 币 重复 
支付 到 她 控制 的 另 一 个 地 直 。 因 为 这 两 笔 交 易 用 相同 的 1 和 人 ， 所 以 只 有 一 笔会 被 放 进 区 
块 链 。 图 中 的 箭头 表示 一 个 区 块 链接 到 前 一 个 区 块 的 指针 ， 通 过 在 前 一 个 区 块 自己 的 内 容 中 包 
含 了 一 个 哈 希 值 进行 了 扩展 。CA 代表 爱丽 丝 拥 有 的 币 。 


那 我 们 如 何 知 道 这 个 双重 文 付 攻击 是 否 能 成 功 呢 ? 0 
哪个 区 块 会 被 纳入 长 期 的 共识 链 ， 是 爱丽 丝 转 给 鲍 动 的 区 块 ， 
丽 丝 转 给 爱丽 丝 目 己 的 区 块 。 是 什么 决定 了 哪 一 1 
实 太 扩 会 休 守 在 最 长 有 效 分 文 后 面 延 展 这 一 规则 ， 那 到 发 在 哪个 分 文 
后 面 延展 呢 ? 并 没有 明确 的 答案 ! 目前 来 看 ， 这 两 条 分 文 长 度 一 
它们 的 区 别 是 仅 在 于 最 后 一 个 区 块 ， 并 且 这 两 个 区 洋 部 是 有效 的 。 

择 下 一 个 区 块 的 节点 可 以 决定 建立 在 其 中 一 个 区 块 上 。 ee 
定 了 双重 文 付 攻击 的 成 功 与 否 。 


微妙 之 处 在 于 : 从 道德 角度 考虑 ， 这 两 个 分 文 截 然 不 同 ， 一 个 是 
包含 付 给 鲍 盈 交易 的 区 块 ， 一 个 是 包含 爱丽 丝 把 这 些 币 双 重文 付 给 她 
ee 但 这 个 区 别 仅仅 建立 在 我 们 知音 安 丽 给 先 支付 
给 鲍 动 再 试图 双重 支付 这 个 故事 的 基础 上 。 但 从 技术 角度 来 看 ， 这 两 


笔 区 易 完全 一 致 ， 且 都 有 效 。 克 点 没有 办 法 分 辨 出 哪 一 个 是 道义 上 合 
理 合法 的 交易 。 


实践 中 ， 厄 点 往往 用 延展 它们 在 点 对 点 网 络 里 最 早 听 到 的 区 块 这 
种 局 发 式 的 方法 。 但 这 不 是 一 个 无 懈 可 击 的 法 则 。 在 一 些 情况 下 ， 
为 网 络 延迟， 很 可 能 它们 先 听 到 的 区 块 实 际 上 是 后 被 创造 出 来 的 。 所 
以 下 一 个 提议 节点 至 少 是 有 可 能 选择 在 那个 包含 双重 支付 的 区 块 上 延 
展 。 爱 丽 丝 甚至 还 可 以 贿赂 下 一 个 提议 节点 来 加 大 这 个 可 能 性 。 不 管 
出 于 什么 原因 ， 如 果 下 一 个 下 点 真 的 接受 了 这 个 双重 文 付 的 区 块 ， 那 
么 这 条 链 将 比 包 含 支付 给 鲍 动 交易 的 那 条 链 更 长 。 基 于 此 ， 下 一 个 诚 
实 节 点 束 有 可 能 去 延展 这 条 链 ， 因 为 它 更 长 。 随 着 这 个 过 程 继 续 ， 这 
条 包含 双重 文 付 的 链 会 更 有 可 能 成 为 长 期 共识 链 的 一 部 分 。 相反 ， 那 
个 包 舍 爱丽 丝 文 付 给 鲍 芝 交易 区 块 的 链 会 被 网 络 完全 遗 筷 ， 成 为 一 个 
孤 块 (orphan block) 。 


我 们 现在 从 商家 鲍 动 的 立场 重新 考 虚 整个 情况 。 理 解 鲍 莹 如 何 保 
护 自己 不 受 双 重 支 付 攻击 是 理解 比特 币 安 全 措施 的 重要 的 一 部 分 。 当 
爱丽 丝 广播 她 向 鲍 孝 支 付 的 交易 时 ， 鲍 盈 也 在 网 上 听 着 ， 鲍 支 在 下 一 
区 块 被 创建 之 前 就 能 听 到 这 笔 交 易 。 如 有 果 鲍 勃 比 我 们 前 面 描 述 的 更 加 
草率 的 话 ， 他 可 以 在 网 上 完成 检查 程序 ， 并 人 允许 爱丽 丝 此 时 下 载 软 
件 。 这 叫 作 零 验证 交易 (zero confirmation transaction)。 这 将 导致 一 个 
比 前 面 所 说 的 更 加 基础 的 双重 文 付 攻 击 。 前 面 所 述 情 况 ， 为 了 实现 双 
重 支 付 攻 击 ， 我 们 需要 假设 一 个 恶意 黑客 控制 了 发 起 下 一 个 区 块 的 市 
点 。 但 如 果 鲍 动 允 许 爱 丽 丝 在 没有 收 到 区 块 链 一 条 确认 信息 的 情况 下 
就 下 载 软件 ， 那 么 爱丽 丝 可 以 立刻 广播 一 条 双重 支付 交易 ， 一 个 诚实 
节点 吏 有 可 能 把 这 个 交易 放 进 下 一 区 块 ， 而 不 是 文 付 给 鲍 动 的 那 笔 交 
吻 。 见 图 2.3。 


1 确认 数 3 确认 数 


双重 支付 攻击 的 测试 


看 到 C, 向 B 的 交易 广播 
0 确认 数 
图 2.3 从 鲍 勃 立场 来 看 双重 支付 


这 是 一 个 从 商家 鲍 勃 的 立场 来 看 爱丽 丝 做 的 双重 文 付 尝试 。 为 了 保护 自己 免 受 双 重 支 付 攻 
击 ， 鲍 勃 应 当 等 爱丽 丝 疝 他 支付 的 交易 被 区 块 链 包含 进去 ， 并 且 多 等 儿 次 确认 。 
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另 一 方面 ， 一 个 谨慎 的 商家 甚至 在 看 到 交易 被 包含 在 一 个 区 块 后 
仍然 不 会 允许 爱丽 丝 下 载 软件 ， 而 是 继续 等 待 。 如 果 鲍 勃 看 到 爱丽 丝 
ee 他 会 意识 到 那个 含有 爱丽 丝 同 他 支付 的 
交易 的 区 块 有 可 能 已 经 被 丢弃 。 他 应 该 放弃 这 个 交易 ， 不 让 爱丽 丝 下 
载 软件 。 如 果 在 尝试 双重 支付 的 情况 下 ， 恰巧 下 几 个 节点 还 是 建立 在 
ll A 那 鲍 动 束 相 信 这 笔 交 易 会 被 纳入 长 
期 共识 链 


总 而 言 之 ， 一 个 交易 得 到 的 确认 越 多 ， 它 被 纳入 长 期 共识 链 的 概 


率 就 越 大 。 如 前 文 所 述 ， 诚 实 太 上 反 总 十 选择 延展 最 长 的 共识 链 。 因 为 
长 链 增长 更 多 ， ee ei 区 要 和 
越 小 。 在 只 \ 有 小 振 亚 意 世 点 的 情况 下 ， 结论 尤其 正确 。 因 为 短 


链 要 想 赶 上 ， 这 些 恶意 节点 需要 被 一 直 连 ne 


事实 证 明 ， 双 重 支付 攻击 成 功 的 概率 将 随 着 确认 的 数目 的 增加 而 
指数 级 降低 。 所 以 ， 如 果 你 感 兴趣 的 交易 已 经 收 到 k 个 确认 ， 双 重 支付 
攻击 交易 被 纳入 长 期 共识 链 的 概率 以 关于 k 的 一 个 画 数 指数 级 下 降 。 在 
比特 币 生 态 系统 里 ， 最 常见 的 方法 是 等 6 个 确认 。 并 不 是 6 这 个 数字 有 
什么 特殊 意义 ， 只 不 过 ， 这 样 在 你 等 待 的 时 间 与 确认 你 所 感 兴趣 的 交 
易 被 纳入 长 期 共识 链 之 间 做 了 很 好 的 平衡 中 。 


总 结 起 来 ， 防 止 不 正当 交易 完 全 征用 密码 学 的 方法 。 但 这 些 方法 
被 共识 所 加 强 ， 意 思 是 一 个 节点 如 果 想 放 进 一 个 密码 学 上 不 正当 的 交 
易 ， 这 个 交易 不 会 被 纳入 长 期 共识 链 的 唯一 原因 是 绝 大 多 数 的 节点 是 
诚实 的 ， 不 会 把 一 个 不 正当 交易 放 进 区 块 链 。 另 外 ， 防 止 双重 文 付 攻 
击 完全 依赖 于 共识 ， 密 码 学 不 起 任何 作用 。 从 密码 角度 来 看 ， 这 两 个 
交易 都 是 正当 有 效 的 。 但 共识 可 以 能 决定 哪个 被 放 进 长 期 共识 链 。 最 
后 ， 你 无 法 百分之百 保证 你 感 兴趣 的 交易 被 放 进 了 长 期 共识 链 。 但 指 
数 级 概率 保证 了 不 错 的 结果 ，6 笔 交易 过 后 ， 实 质 上 你 没有 犯错 的 可 能 
了 了 。 


[1] 如 后 文 总 结 时 所 说 ， 并 没有 一 个 固定 的 数字 ， 但 6 是 个 常用 的 数目 。 一 一 译 者 注 


2.4 奖励 机 制 与 工作 量 证 明 


在 前 面 的 章节 里 ， 我 们 简单 了 解 了 比特 币 的 共识 算法 ， 以 及 为 什 
么 我 们 直觉 上 相信 它 是 安全 的 。 但 我 们 回想 在 本 章 一 开始 谈 到 的 ， 比 
特 币 的 去 中 心 化 一 部 分 是 通过 技术 手段 ， 另 一 部 分 是 通过 聪明 的 激励 
设计 来 实现 的 。 和 截至 目前 ， 我 们 主要 关注 的 还 是 技术 和 手段。 现在， 我 
们 来 讨论 比特 币 的 这 个 激励 设计 。 


之 前 我 们 试图 大 胆 相 信 这 样 的 假设 ， 在 我 们 随机 选取 市 点 时 ， 至 
少 有 50% 的 可 能 会 选中 诚实 太 护 ， 这 或 许 古 有 问题 的 。 如 来 对 幅 覆 这 个 
过 程 的 参与 着 有 金钱 奖励 ， 这 个 关于 诚实 的 假设 束 格 外 成 问题 ， 这 种 
情况 下 我 们 无 法 真 的 假设 某 个 节点 十 诚实 的 。 所 以 这 个 问题 变 成 了 : 
我 们 是 否 可 以 给 予 表现 诚实 的 节点 奖励 ? 


我 们 再 思考 下 一 个 确认 以 后 的 双重 支付 尝试 ( 见 图 2.3) 。 我 们 是 
人 否 可 以 您 昼 那 个 创建 包含 双重 支付 区 块 的 廊 点 ? 好 吧 ， 其 实 不 行 。 束 
像 我 们 前 面 说 的 ， 因 为 我 们 无 法 判断 哪 笔 交易 古道 义 上 合法 的 。 即 使 
我 们 知道 ， 我 们 也 很 难 和 您 昼 它 们 ， 因 为 市 点 没有 身份 。 那 我 们 反 过 来 
思考 ， 我 们 是 否 可 以 奖励 那些 创造 的 区 块 最 终 倍 放 入 长 期 共识 区 块 的 
斑点 ? 然而 ， 同 样 因为 这 些 世 点 并 没有 透露 它们 真实 世界 中 的 号 份 ， 
我 们 不 可 能 给 他 们 的 家 庭 地 址 寄 去 现金 。 要 是 有 某 种 可 以 代替 的 数字 
人 你 大 概 猜 到 该 怎么 做 的 。 我 们 可 以 用 比特 币 来 奖励 创造 这 些 
区 块 的 节点 。 


让 我 们 暂停 一 下 。 之 前 ， 我 们 讨论 的 都 是 用 抽象 的 算法 来 实现 分 
布 式 共识 ， 并 不 十 针对 某 个 具体 的 应 用 。 我 们 现在 要 跳出 模型 ， 使 用 
事实 ， 我 们 建立 这 个 分 布 式 共识 过 程 的 应 用 实际 上 就 是 一 种 货币 。 明 
确 地 说 ， 我 们 要 以 这 种 货币 为 单位 交 励 那些 表现 诚实 的 入 点 。 


区 块 天 大 


这 是 怎么 做 到 的 ? 比特 币 里 有 两 种 不 同 的 奖励 机 制 。 其 中 一 个 融 
征 区 块 奖励 。 根 据 比 特 币 的 规则 ， 创 建 区 块 的 节点 可 以 在 这 个 区 块 中 
加 入 一 笔 竺 别 的 交易。 这 笔 交 易 束 是 一 个 造 币 的 交易 ， 类 似 于 财 妈 币 
里 面 的 千 币 ， 市 太 可 以 指定 这 笔 交 易 的 接收 地 址 。 当 然 ， 节点 通 第 部 
会 选择 一 个 属于 目 己 的 地 址 。 你 可 以 把 这 视 为 对 太后 在 共识 链 上 进行 
创建 区 块 服务 的 报酬 。 


在 写本 书 时 ， 区 块 奖励 金额 定 在 25 个 比特 币 。 但 每 生成 210 000 个 
区 块 ， 金 额 就 会 减 半 。 根 据 区 块 生 成 的 速度 ， 我 们 可 以 看 到 ， 这 个 金 
额 大 概 每 4 年 减 半 一 次 。 我 们 现在 处 在 第 二 个 4 年 。 比 特 币 存在 的 最 初 4 
年 ， 区 块 奖励 金额 为 50 个 比特 币 ， 现 在 是 25 个 比特 币 。 然 后 会 不 断 减 
半 。 这 将 造成 一 些 有 意思 的 结果 ， 我 们 不 久 会 看 到 。 


你 可 能 会 问 为 什么 区 块 奖励 能 做 到 慌 励 诚实 行为 。 给 予 我 们 目前 
讨论 的 ， 从 表面 上 看 ， 这 个 世上 点 无 论 提议 一 个 正当 有 效 的 区 块 还 是 恶 
意 伪 造 ， 都 会 受到 奖励 。 但 其 实 并 非 如 此 ! 想 一 想 这 个 节点 是 如 何 收 
取 交 励 的 ? 痰 励 只 有 当 区 块 最 终 被 纳入 长 期 共识 链 才 会 实现 。 因 为 造 
币 交 易 和 其 他 每 一 笔 交 易 一 样 ， 只 有 当 它 最 终 被 纳入 共识 链 ， 才 会 被 
其 他 节点 接受 。 这 束 是 比特 币 奖 励 制度 的 一 个 关键 概念 。 这 是 一 个 十 
分 微妙 却 十 分 强大 的 设计 。 这 个 设计 激励 节点 想方设法 让 其 他 节点 延 
展 它们 上 自己 的 区 块 。 因 此 如 果 网 络 中 大 部 分 节点 遵循 去 延展 最 长 文 链 
的 规则 ， 那 这 样 的 设计 将 激励 所 有 区 点 去 遵循 这 个 规则 。 这 就 是 比 竺 
币 的 第 一 个 奖励 机 制 。 


我 们 前 面 提 到 每 产生 210 000 个 区 块 (大 约 4 年 ) ， 区 块 奖励 将 被 减 
半 。 在 图 2.4 中 ， 曲 线 的 斜率 将 持续 减 半 。 这 是 一 个 等 比 数列 ， 你 可 能 
知道 数列 的 总 和 是 有 上 限 的 。 最 终 一 共 是 21 000 000 个 比特 币 。 


注意 ， 这 是 新 比特 币 被 允许 创造 出 来 的 唯一 途径 ， 没 有 任何 其 他 


新 增 币 的 机 制 。 所 以 这 是 为 什么 比特 币 最 终 的 数量 是 2 100 万 (至 少 目 


前 的 规则 规定 是 这 样 ) 。 按 照 现在 奖励 发 放 的 速度 ， 到 了 2140 年 比特 
币 区 块 奖励 整 发 完了。 这 是 否 意 味 着 这 个 系统 到 了 2140 年 就 无 法 继续 


运行 ， 并 且 因 为 不 再 有 奖励 诚实 行为 的 激励 而 变 得 不 安全 昵 ? 不 是 这 
样 的 。 因 为 区 块 奖 励 只 是 比特 币 两 种 奖励 机 制 之 一 。 


第 一 个 奖励 的 抛 点 : 
挖 矿 的 奖励 从 50 个 比特 币 减 半 到 25 个 比特 币 
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图 2.4 比特 币 的 总 供应 量 


注 ， 区 块 奖励 每 4 年 减 半 一 次 ， 限 制 了 比特 币 的 供应 上 限 为 2100 万 个 。 这 是 一 个 简化 的 模型 ， 
实际 中 的 曲线 会 有 轻微 的 差异 ， 但 都 有 2 100 万 的 上 限 限 制 。 


交易 费 


比特 币 的 第 二 个 关 励 机 制 称 为 交易 费 。 任 何 交 易 的 制造 者 部 可 以 
选择 让 交易 输出 值 比 输入 值 小 。 第 一 个 创建 区 块 把 交易 放 进 区 块 链 的 
人 可 以 取得 这 个 差额 ， 作 为 交易 费 。 如 果 你 是 一 个 和 点， 正在 创建 一 
个 包含 200 笔 交易 的 区 块 ， 那 么 这 200 笔 交易 的 交易 费 将 会 被 付 到 你 放 
在 区 块 内 的 那个 地 址 。 这 些 交 易 费 现在 是 完全 自愿 的 ， 但 是 我 们 可 以 
预见 ， 随 看 区 块 交 励 逐 渐 发 完 ， 交 易 费 会 变 得 越 来 越 重要 ， 几 乎 是 必 
需 的 ， 因 为 用 户 需 要 通过 交易 费 来 保障 合理 的 服务 质量 。 从 某 种 程度 
上 来 说 ， 这 已 经 开始 发 生 。 但 目前 还 不 清楚 这 个 系统 会 如 何 演变 
这 取决 于 还 并 不 完善 的 博弈 论 的 研究 与 发 展 。 这 也 是 比特 币 一 个 很 有 
趣 的 研究 领域 。 


我 们 在 接 述 共识 机 制 时 还 有 一 些 问题 没有 人 解答。 第 一 个 主要 问题 
年 我 们 要 你 相信 这 样 的 假设 : 我 们 能 随机 选取 一 个 万 点 。 第 二 个 是 因 
奖励 那些 市 点 参与 而 产生 的 新 问题 ， 如 果 大 家 部 想 来 分 一 杯 焰 成 为 一 
个 太太 来 获得 这 些 痰 励 的 话 ， 整 个 系统 会 变 得 不 稳定 。 第 三 个 是 第 二 
个 问题 的 复 洒 版 ， 束 是 可 能 会 有 攻击 者 创建 大 量 的 女 潜 市 点 来 尝试 颠 
和 窗 整 个 共识 过 程 。 


控 人 与 工作 量 证 明 


事实 证 明 ， 这 些 问题 都 是 相互 联系 的 ， 所 有 这 些 问 题 都 有 相同 的 
解决 办 法 一 一 工作 量 证 明 (proof of work) 。 工 作 量 证 明 的 核心 理念 
是 ， 我 们 把 随机 选取 世上 点 改 为 根据 节点 占有 某 种 资源 的 比例 来 选取 和 
点 ， 我 们 希望 这 种 资源 是 没有 人 可 以 垄断 的 。 比 如 说 ， 如 果 这 个 资源 
是 计算 能 力 ， 那 我 们 称 之 为 工作 量 证 明和 系统 。 或 者 这 个 资源 可 以 是 某 
种 币 的 拥有 量 ， 我 们 称 之 为 权益 证 明 (proof of stake) 。 虽 然 比特 币 
没有 使 用 ， 但 权益 证 明 也 是 另 一 种 合格 的 模式 ， 并 被 其 他 加 密 货 币 所 


使 用 。 我 们 将 在 第 8 章 中 更 多 地 讨论 权益 证 明和 其 他 工作 量 证 明 的 变 
种 。 


先 回 到 工作 量 证 明 。 我 们 试 着 更 好 地 理解 根据 计算 能 力 来 选择 市 
点 到 底 是 什么 意思 。 换 一 个 角度 理解 ， 我 们 是 允许 世 点 用 它们 的 计算 
能 力 来 互相 竞争 ， 导 致 的 结 末 是 计算 能 力 的 比例 决定 了 下 点 极目 动 选 
中 的 概率 。 工 作 量 证 明 还 有 一 种 理解 方式 ， 即 我 们 把 制造 新 身份 的 难 
度 适 度 提高 了 。 这 就 好 像 症 对 制造 新 身份 ， 继 而 对 女巫 攻击 收 税 一 
样 。 这 听 起 来 好 像 有 点 模糊 ， 我 们 接 下 来 看 下 比特 币 使 用 时 工作 量 证 
明 体 系 的 细节， 事情 束 变 得 清楚 多 了 。 


比特 币 是 用 哈 希 函数 解 恋 来 证 明 工 作 量 的 。 任 何 一 个 提议 并 创建 
区 块 的 市 后 想 要 制造 下 一 块 ， 这 个 节点 必 须要 找到 一 个 数 ， 或 着 我 们 
把 它 称 为 临时 随机 数 ( 见 第 1 章 1.1 市 ) 。 当 你 把 这 个 临时 随机 数 、 前 序 
块 的 哈 布 值 还 有 要 填 进 这 个 区 块 的 交易 列表 连接 起 来 ， 组 成 一 整 串 子 
伯 ， 然 后 用 哈 硕 钞 数 计算 这 一 整 串 字符 的 输出 值 ， 这 个 输出 值 正好 要 
沙 在 一 个 相对 于 这 个 哈 布 函数 所 有 可 能 的 输出 中 很 小 的 目标 区 间 内 。 
用 公式 来 表示 的 话 ， 束 是 临时 随机 数 要 满足 下 面 的 不 等 式 : 


Hnoncellprev_hashl|tx||tx||... ||tx)<target 


束 像 我 们 前 面 看 到 的 ， 通 常 一 个 区 块 会 包含 这 个 市 扩 提 议 的 一 系 
列 交 易 。 而 且 ， 这 个 区 块 还 会 包含 一 个 指向 前 序 区 块 的 哈 希 指针 (我 
们 这 里 说 的 哈 希 指针 是 一 个 宽泛 的 概念 。 这 个 指针 只 是 文本 中 的 字符 
串 ， 它 并 不 需要 告诉 我 们 去 哪里 找到 这 个 区 块 。 我 们 可 以 通过 在 网 上 
询问 其 他 的 丰 皮 找到 区 块 。 重 要 的 是 ， 这 个 蛤 硕 值 既 作 为 我 们 在 网 络 
上 请 求 其 他 节点 寻找 区 块 的 DD， 又 能 够 让 获取 这 个 区 块 后 验证 它 ) 。 
除 此 之 外 ， 我 们 现在 还 要 求 区 块 包含 一 个 量 时 随机 数 。 这 个 想法 是 为 
了 适度 提高 发 现 符 合 要 求 的 临时 随机 数 的 难度 ， 即 把 包含 临时 随机 数 
在 内 的 整个 区 块 的 哈 布 值 组 合 到 一 起 ， 输 出 结 琳 要 是 一 种 特定 的 形 
式 。 如 有 果 哈 布 函 数 符 合 我 们 在 第 1 章 中 所 描述 的 谜 题 友 好 特性 ， 那 唯一 


解 出 哈 希 谜 题 的 办 法 就 是 去 试 足够 多 的 临时 随机 数 ， 直 到 成 功 为 止 。 
具体 来 说 ， 如 果 这 个 目标 区 域 是 所 有 可 能 的 输出 的 1%， 那 你 大 概 就 要 
试 100 次 才能 成 功 。 事 实 上 ， 这 个 目标 区 域 远 比 输出 范围 的 1% 小 得 多 得 
多 ， 我 们 后 面 就 能 看 到 。 了 


用 这 种 哈 希 函数 解 谜 以 及 工作 量 证 明 的 办 法 ， 我 们 可 以 完全 人 铭 弃 
采取 那 种 随机 远 取 市 点 的 办 法 。 这 些 市 点 在 苋 搜 哈 布 函数 解 恋 的 过 程 
中 一 直 都 是 互相 独立 的 。 有 时 一 个 节点 鸿运 当头 ， 正 好 发 现 一 个 临时 
随机 数 可 以 满足 要 求 。 这 个 幸运 的 节点 驶 可 以 提议 创建 下 一 个 区 块 
了 。 这 就 是 比特 币 系 统 实现 完全 去 中 心 化 的 方式 ， 没 有 任何 人 能 决定 
谁 可 以 提交 下 一 区 块 。 


难于 计算 


哈 布 恋 题 有 二 个 重要 的 特性 。 第 一 个 特性 古 要 有 一 定 的 难度 。 我 
们 前 面 说 适度 的 难度 ， 其 实 你 马上 会 看 到 难度 实际 上 是 随时 间 而 改变 
的 。 在 2014 年 年 底 ， 产 生 一 个 区 块 平 均 要 做 104 次 哈 厦 运算。 换 言 
之 ,目标 区 域 仅 仪 是 整个 输出 范围 的 /10”。 这 是 超大 的 计算 量 一 一 举 
例 来 说 ， 超 过 了 商业 化 笔记 本 电脑 可 能 的 计算 范 畴 。 因 此 ， 只 有 一 些 
方太 还 在 不 大 其 烦 地 竞争 造 块 。 这 个 不 停 尝 试 解 哈 希 恋 题 的 过 程 ， 束 
是 我 们 听 说 的 比特 币 控 矿 ， 参 与 挖 矿 的 节 扣 被 称 为 矿工 。 尽 管 技术 上 
每 个 人 都 可 以 成 为 矿工 ， 但 由 于 控 矿 的 高 成 本 导致 了 挖 矿 生 态 系统 
消耗 大 量 能 源 。 


可 参数 化 成 本 


第 二 个 特性 症 ， 我 们 斋 望 成 本 站 可 以 通过 参数 来 变化 的 ， 而 不 是 
一 个 固定 值 。 在 比特 币 的 点 对 点 网 络 里 ， 征 这 样 来 达到 这 一 特性 的 : 
每 产生 2 016 个 区 块 之 后 ， 所 有 的 市 点 部会 目 动 重新 计算 目标 区 域 相对 
于 整个 输出 克 围 的 比例 大 小 ， 使 得 后 续 的 区 块 产生 的 时 间 间 隐约 为 10 
分 钟 。 两 个 区 块 之 间 的 平均 间隔 是 10 分 钟 ，2 016 个 区 块 就 需要 两 个 星 
期 。 所 以 大 约 每 两 个 星期 ， 目标 区 域 的 大 小 会 被 重新 计算 一 次 。 


我 们 想 一 下 这 意味 着 什么 。 如果 你 是 个 矿工 ， 你 伦 了 一 定 的 费用 
投资 了 一 些 人 硬件 来 做 比特 币 挖 矿 。 但 是 整个 挖 矿 体系 在 不 断 增加 ， 越 
来 越 多 的 矿工 加 入 这 个 行业 ， 或 是 他 们 部 署 了 运算 越 来 越 快 的 硬件 设 
备 ， 那 两 个 星期 的 时 间 段 里 ， 被 找到 的 区 块 可 能 比 预 期 的 要 多 一 点 。 
然后 ， 那 些 万 点 束 会 目 动 调整 目标 区 域 ， 你 要 找到 一 个 块 所 要 做 的 工 
作 量 束 随 之 增加 。 所 以 如 琳 你 投了 一 笔 固定 资金 在 人 硬件 上 ， 你 找到 下 
一 区 块 的 速率 实际 上 取决 于 其 他 矿工 在 做 什么 。 有 一 个 公式 可 以 很 好 
地 描述 这 一 点 : 任何 一 个 矿工 ， 比 如 爱丽 丝 ， 找 到 下 一 区 块 的 概率 ， 
就 相当 于 她 控制 的 计算 力 占 整个 全 球 计 算 力 的 比例 。 这 意味 着 ， 如 果 
爱丽 丝 的 挖 矿 设 备 的 计算 能 力 占 全 部 计算 能 力 的 0.1%， 那 大 概 每 产生 1 
000 个 区 块 ， 她 束 可 以 找到 一 个 区 块 。 


这 样 重新 调整 的 目的 是 什么 ? 我 们 为 什么 想 要 维持 10 分 钟 间隔 不 
变 ? 原因 很 商 单 。 如 条 区 块 产生 的 间隔 太 小 ， 融 会 造成 很 多 低 效 率 ， 
我 们 还 会 失去 许多 优化 上 的 好 处 ， 比 如 在 一 个 区 块 内 放 入 大 量 的 交 
易 。10 分 钟 并 没有 神奇 之 处 ， 如 采 把 10 分 钟 下 调 到 5 分 钟 大 概 也 可 以 。 
天 于 其 他 加 密 货 币 的 理想 区 块 间隔 应 该 是 多 少 ， 已 经 有 很 多 讨论 。 除 
去 关于 理想 间 隅 的 不 同意 见 ， 大 家 都 认为 应 该 是 个 固定 的 值 。 它 不 多 
许 被 无 限 降 低 。 这 束 古 为 什么 我 们 有 目 动 重新 计算 目标 区 域 的 特征 。 


这 个 成 本 函数 和 工作 量 证 明 的 设 定 方式 ， 让 我 们 重新 审视 比特 币 
的 安全 假设 。 现 在 我 们 终于 可 以 丢弃 之 前 让 你 言 目 相信 的 假设 。 不 必 
再 去 说 那些 连 喘 份 部 没有 的 让 扩大 多 数 是 诚实 的 了 ， 诚 实 具体 代表 什 
么 也 并 不 清楚 ， 我 们 现在 可 以 清楚 地 表述 ， 只 要 以 计算 能 力 为 权重 的 


大 多 数 矿 工 ， 遵 循 比 特 币 协议 ， 或 者 说 是 诚实 的 ， 那 么 比特 币 中 的 大 
量 攻 击 束 都 没有 可 能 发 生 。 因 为 如 果 以 计算 能 力 为 权重 的 大 多 数 矿 工 
古 诚实 的 ， 提 议 下 一 个 区 块 的 竞争 会 自动 保证 在 任意 时 间 点 ， 下 一 个 
区 块 至 少 有 50% 的 概率 是 由 一 个 诚实 节点 提议 的 。 


矿工 行为 的 丙种 行为 模式 


在 分 布 式 系统 和 计算 安全 研究 领域 ,假设 一 定 比 例 的 市 点 是 诚 
实 的 ， 来 展示 在 其 他 市 点 表现 随意 的 情况 下 ， 系 统 如 何 按 照 预 期 运 
行 ， 是 很 肖 见 的 方法 。 这 是 我 们 采用 的 基础 方法 ， 除 了 以 计算 能 
为 权重 计算 大 多 数 之 外 。 最 初 的 比特 币 白 皮 书 也 包含 了 这 样 的 分 
Di 


但 博弈 论 领 域 给 出 了 一 种 完全 不 同 的 ， 更 复杂 且 实 际 的 方法 来 
决定 系统 如 何 运行 。 这 个 观点 不 区 分 节点 诚实 或 恶意 ， 而 是 假设 每 
个 市 点 都 按 自 己 的 意愿 行动 。 每 个 节点 考虑 其 他 市 点 的 潜在 可 能 负 
略 之 后 ， 采 用 一 种 (随机 的 ) 策略 最 大 化 自己 的 回报 。 如 有 果 协 议和 
激励 机 制 设 计 得 当 ， 大 多 数 节 点 在 大 多 数 时 候 会 遵循 这 个 规 
则 。“ 诚 实 ? 的 行为 只 是 许多 策略 中 的 一 种 ， 我 们 在 道德 上 并 不 依赖 
WH 


博 弃 论 的 观点 认为 ， 最 大 的 问题 是 矿工 默认 的 行为 是 否 是 一 
种 “纳什 均衡 ” (Nash equilibrium) ， 即 这 是 否 代表 了 一 种 稳定 的 状 
态 ， 在 这 种 状态 下 没有 区 点 可 以 通过 表现 不 诚实 而 获得 更 高 的 回 
报 。 针 对 这 个 问题 现在 各 界 仍 有 争议， 并 且 是 一 个 活跃 的 研究 领 
域 。 


解 哈 希 谜 题 是 概率 性 的 ， 因 为 没有 人 可 以 预测 到 哪个 临时 随机 数 
会 解 出 谜 题 。 唯 一 的 方法 是 一 个 一 个 去 试 临时 随机 数 ， 并 布 户 能够 成 


功 。 在 数学 上 ， 这 被 称 为 伯 努 利 试 验 (Bemoulli trial) 。 伯 努 利 试验 是 
一 种 有 两 种 可 能 结果 的 试验 ， 在 连续 试验 下 ， 每 种 结果 发 生 的 概率 是 
固定 的 。 在 这 里 ， 两 种 结果 是 哈 希 值 是 否 落 在 目标 区 域内 ， 假 设 哈 希 
玉 数 像 随机 函数 一 样 ， 那 些 结果 的 概率 都 是 固定 的 。 上 典型 地 ， 节 点 多 
次 党 试 临 时 随机 数 的 伯 努 利 试验 是 一 个 离散 概率 过 程 ， 它 可 以 用 一 个 
叫 作 泊 松 过 程 (Poisson process) 的 连续 概率 过 程 近似 表示 ， 在 泊 松 过 
程 中 ， 事 件 以 固定 的 速率 独立 出 现 。 最 后 的 结果 是 ， 发 现下 一 个 区 块 
所 需要 时 间 的 概率 密度 函数 ， 见 图 2.5。 
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发 现下 一 个 区 块 的 时 间 (全 网 ) 
图 2.5 发 现下 一 个 区 块 所 需 时 间 的 概率 密度 画 数 


这 被 称 为 指数 分 布 。 假 设 一 个 区 块 现在 被 发 行 ， 下 一 个 区 块 有 一 
定 的 小 概率 很 快 被 发 现 ， 比 如 几 秒 钟 或 几 分 钟 。 也 有 一 定 的 小 概率 论 
了 较 长 时 间 才 发 现下 一 个 区 块 ， 比 如 一 小 时 。 但 总 体 来 说 ， 网 络 会 目 
动 调整 难度 使 得 区 块 间隔 时 间 的 长 期 均值 维持 在 10 分 钟 。 注 意图 2.5 表 
示 的 是 整个 网 络 内 区 块 被 创造 出 来 的 频率 ， 而 不 是 哪个 矿工 事实 上 发 
现 了 这 个 区 块 。 


如 果 你 是 一 名 矿工 ， 你 大 概 想 知道 要 多 长 时 间 才能 找到 下 一 区 
块 ? 这 个 概率 密度 函数 会 是 什么 样 ? 它 的 形状 会 相同 ， 但 x 轴 的 坐标 不 
一 样 。 可 以 用 一 个 癌 腕 的 公式 表示 : 


对 于 某 个 特定 的 矿工 : 
发 现下 一 区 块 的 平均 时 间 =10 分 钟 / 占 全 部 计算 能 力 的 比例 


如 琳 你 有 全 网 络 0.1% 的 计算 能 力 ， 这 个 公式 告诉 我 们 ， 你 每 10 000 
分 钟 能 找到 一 个 区 块 ， 大 约 一 个 星期 。 不 仪 是 你 发 现 区 块 的 时 间 间 隔 
非 党 长， 时间 间隔 的 流动 也 会 非 肖 大 。 因 此 产生 的 一 些 重要 结论 我 们 
在 第 5 章 会 讲 到 。 


易于 证 实 


现在 回 到 工作 量 证 明 函 数 第 三 个 重要 的 特性 ， 就 是 证 实 一 个 节点 
正确 地 计算 了 工作 量 证 明 很 容易 。 即 使 一 个 证 点 要 尝试 10” 次 来 找到 
使 区 块 哈 希 值 落 在 目标 范围 内 的 临时 随机 数 ， 并 且 临 时 随机 数 必须 是 
作为 区 块 的 一 部 分 被 公布 出 来 。 这 样 任何 其 他 万 点 很 容易 检查 区 块 的 
内 容 ， 计 算 它 的 了 哈 硕 值 ， 证 实 它 的 输出 在 目标 区 域内 。 这 有 征 个 相当 重 
要 的 特征 ， 因 为 这 样 使 得 我 们 摆脱 了 中 心 化 管理 。 我 们 不 需要 一 个 中 
央 权 威 机 构 来 证 明 矿 工 正确 地 完成 了 工作 。 任 何 市 后 或 者 矿工 ， 痢 可 
以 迅速 地 证 实 其 他 矿工 找到 的 区 块 符合 工作 量 证 明 的 规定 。 


[1] 这 段 话 很 抛 口 ， 也 难 届 。 打 个 比方 ， 假 如 你 是 个 炮兵 ， 那 些 前 序 区 块 哈 希 值 加 上 所 有 
要 打包 的 交易 就 是 炮弹 ， 哈 硕 函 数 束 是 大 炮 ， 临 时 随机 数 就 好 比 瞄 准 器 ， 你 所 想 击 中 的 目标 ， 
比如 一 个 指挥 所 ， 它 肯定 在 你 能 打 到 的 范围 内 ， 但 非常 小 ， 而 且 其 实 根 本 不 知道 在 哪里 。 击 


bes 


HH 


目标 的 唯一 办 法 是 狂 友 滥 炸 ， 这 就 是 比特 币 工作 量 的 概念 ， 炸 的 越 多 ， 击 中 的 概率 越 高 。 如 果 
这 个 指挥 所 的 目标 区 域 是 纱 击 区 域 1% 大 的 话 ， 你 大 概 平均 要 发 出 100 枚 炮弹 才 可 能 击 中 目标 。 
一 _ 译 者 注 


下 


2.5 总 结 


控 太 成 本 


我 们 现在 来 看 一 下 挖 矿 经 济 学 。 前 文 提 到 过 ， 作 为 矿工 挖 矿 是 十 
分 昂贵 的 。 按 现在 的 难度 ， 找 到 下 一 个 单独 的 区 块 需 要 计算 10” 个 哈 
希 值 ， 区 块 奖励 约定 25 个 比特 币 ， 按 照 现在 的 比特 币 汇 率 ， 是 不 小 的 
一 笔 钱 。 这 些 数据 可 以 让 我 们 简单 地 计算 出 挖 矿 是 否 赚钱 。 我 们 可 以 
用 这 个 简单 的 逻辑 来 做 这 个 决定 : 


如 傈 : 

控 矿 奖励 > 挖 矿 成 本 

那么 : 

矿工 赚钱 

条 件 是 : 

控 矿 奖励 = 区 块 奖 励 + 交易 费 
挖 矿 成 本 = 人 硬件 成 本 + 运营 成 本 (电费 、 空 调 费 等 ) 


基本 上 ， 矿 工 的 挖 矿 奖励 就 是 区 块 奖励 和 交易 费 。 矿 工 目 己 与 忌 
的 支出 相 比 较 ， 包 括 硬件 和 电费 成 本 。 


但 这 个 简单 的 公式 也 有 几 个 复杂 的 地 方 ， 第 一 ， 便 件 投 资 古 固定 
的 ， 但 电费 是 个 变量 ， 随 时 间 变 化 。 第 二 个 复杂 之 处 是 ， 矿 工 得 到 的 
奖励 取决 于 他 们 发 现 区 块 的 速度 ， 这 不 仅 取决 于 他 们 硬件 的 能 力 ， 还 


取决 于 他 们 的 计算 能 力 占 全 球 计算 能 力 的 比例 。 第 三 是 挖 矿产 生 的 成 
本 通常 是 用 美元 和 其 他 传统 货币 表示 的 ， 但 他 们 得 到 的 奖励 古 比特 
币 。 所 以 这 个 方程 在 任何 时 候 都 有 一 个 隐藏 的 因素 ， 就 十 比特 币 的 汇 
率 。 第 四 ， 到 目前 为 止 ， 我 们 都 假设 矿工 会 诚实 地 遵守 协议 。 但 矿工 
有 可 能 选择 用 一 些 其 他 的 控 矿 策略 ， 而 不 总 是 试图 延展 最 长 的 有 效 分 
文 。 所 以 这 个 方程 没有 宫 插 所 有 矿工 可 以 用 到 的 不 同 党 略 的 细微 差 
别 。 事 实 上 ， 要 想 分 析 挖 矿 征 否 有 意义 ， 十 一 个 博弈 论 问题 ， 没 有 那 
么 容易 找到 答案 。 


到 此 为 止 ， 我们 已 经 较 好 地 理解 了 比特 币 如 何 实现 去 中 心 化 。 我 
们 现在 总 结 一 些 关 键 点 ， 放 在 一 起 以 便 更 好 地 理解 。 


我 们 首先 从 号 份 开 始 。 根 据 我 们 知道 的 ， 比 特 币 协议 不 需要 真实 
世界 的 吴 份 融 可 以 参与 。 任 何 用户 任 何 时 刻 都 可 以 制造 一 对 匿名 的 钼 
琶 。 如 采 爱 丽 丝 想 付 给 鲍 勃 比特 币 ， 比 特 币 协议 里 没有 详细 说 明 爱 丽 
丝 如 何 得 知 鲍 动 的 地 址 。 在 这 些 匿名 的 钥 古 对 用 作 身 份 的 情况 下 ， 交 
易 其 实 是 同 整 个 点 对 点 网 络 广播 的 信息 ， 把 比特 币 从 一 个 地 址 转 到 男 
一 个 地 址 。 比 特 币 只 是 交易 输出 ， 我 们 在 下 一 章 下 会 深入 讨论 这 个 问 
题 。 


不 存在 所 谓 “1 比 特 币 * 这 样 的 东西 


比特 币 没有 固定 面额 ， 不 像 美 元 。 具 体 来 说 ,没有 和 皂 比 特 
币 ” 这 样 的 特别 名 称 。 比 特 币 只 不 过 是 交易 输出 ， 在 现在 的 规则 
里 ， 它 们 可 以 是 精确 到 小 数 点 后 8 位 的 任意 值 。 可 能 的 最 小 价值 是 
0.000 000 01 BTC (比特 币 ) ， 我 们 称 之 为 1 个 中 本 聪 (比特 币 的 发 
明 人 ) 。 


比特 币 点 对 点 网 络 的 目标 ， 有 是 把 所 有 新 的 交易 与 新 的 区 块 传播 到 
所 有 比特 币 节 点 。 但 这 个 网 络 很 不 完美 ， 只 能 尽 其 所 能 来 传递 信息 。 
这 个 系统 的 安全 性 不 是 来 目 点 对 点 网 络 的 完美 ， 而 是 来 目 我 们 本 章 中 
重点 讨论 的 区 块 链 和 共识 协议 。 


当 我 们 说 一 个 交易 被 放 进 了 区 块 链 ， 我 们 真实 的 意思 征 这 笔 区 易 
已 被 确认 了 许多 次 。 对 于 多 少 次 确认 足以 让 我 们 确信 交易 已 包含 在 
内 ， 并 没有 一 个 固定 的 数字 ， 但 6 次 是 个 利用 的 数目 。 一 笔 交 易 收 到 的 
确认 越 多 ， 你 就 越 可 以 确信 这 笔 多 易 匀 放 进 了 区 块 链 。 经 常会 有 一 些 
孤 块 ， 或 者 没有 进入 共识 链 的 区 块 。 有 很 多 原因 可 以 导致 一 个 区 块 变 
为 孤 块 。 这 个 区 块 可 能 包含 一 个 不 正当 交易 ， 或 者 试图 双重 文 付 。 也 
有 可 能 十 网 络 延 迟 ， 这 里 指 的 征 ， 两 个 矿工 可 能 相隔 几 秘 找到 了 新 的 
区 块 ， 这 两 块 几 乎 同时 被 广播 到 网 上 ， 那 其 中 一 块 肯定 会 被 丢弃 。 


最 后 我 们 看 了 哈 硕 谜 题 与 按 矿 。 矿 工 是 决定 参与 创造 新 区 块 竞争 
的 特殊 类 型 节点 。 如 果 其 他 矿工 继续 在 他 们 的 区 块 上 搭建 的 话 ， 对 于 
他 们 努力 的 回报 是 新 造 的 比特 币 (新 区 块 奖励 ) 和 已 经 存在 的 比特 币 
(交易 费 ) 。 很 微妙 也 很 重要 的 一 点 是 : 假设 爱丽 丝 比 鲍 勃 的 计算 能 
力 要 强大 100 倍 ， 但 这 并 不 意味 着 爱丽 丝 一 定 能 够 属 得 找到 下 一 区 块 的 
苋 赛 ， 而 是 爱丽 丝 和 鲍 过 发 现 新 区 块 的 概率 比率 是 100:1。 长 期 下 来 ， 
鲍 靳 找到 的 区 块 数量 是 爱丽 丝 的 11100。 


我 们 预计 矿工 们 会 处 在 经 济 平衡 点 附近 ， 意 味 着 他 们 得 到 的 交 励 
大 致 等 于 他 们 在 硬件 与 电费 上 的 花费 。 理 由 是 如 采 一 个 矿工 持续 亏 
钱 ， 他 会 停止 挖 矿 。 有 反之， 如果 人 硬件 和 电费 固定 的 情况 下 ， 控 矿 利润 
很 高 ， 那 更 多 的 挖 矿 设备 会 加 入 网 络 。 计 算 能 力 的 增加 会 导致 难度 提 
高 ， 每 个 矿工 预期 的 回报 便 会 降低 。 

比特 币 深度 使 用 了 分 布 式 共识 的 概念 。 在 传统 货币 系统 中 ， 共 识 


的 作用 十 有 限 的 。 具 体 来 说 ， 有 一 个 共识 过 程 来 决定 货币 的 汇率 。 这 
在 比特 币 里 当然 也 是 对 的 一 一 我 们 需要 围绕 比特 币 价 值 的 共识 。 但 在 


比特 币 里 ， 我 们 还 需要 对 账本 情况 的 共识 ， 这 是 由 区 块 链 来 完成 的 。 
换 句 话说 ， 甚 至 你 拥有 多 少 比特 币 的 算法 都 是 依赖 共识 的 。 当 我 们 说 
爱丽 丝 拥 有 一 定数 量 的 比特 币 ， 我 们 真实 的 意思 十 说 在 比特 币 点 对 点 
网 络 ， 在 区 块 链 中 记录 的 所 有 爱丽 丝 地 址 上 拥有 的 比特 币 数量 总 额 。 
这 征 比 特 币 系统 的 一 个 终极 真相 : 拥有 比特 币 束 是 其 他 节点 对 给 定 的 
一 方 拥 有 这 些 比特 币 的 共识 。 


最 后 ， 我 们 必须 对 整个 系统 的 规则 达成 共识 ， 系 统 规则 有 时 不 得 
不 改变 。 比 特 币 规则 改变 有 两 种 : 对 应 为 软 分 叉 与 便 分 又 。 我 们 把 关 
于 它们 区 别 的 详细 讨论 放 到 第 3 划 和 第 7 章 中 。 


局 动 加 密 贷 


男 一 个 微妙 的 概念 是 “ 自 举 过 程 ”(bootstrapping) 。 比特 币 系统 
三 个 不 同 的 想法 一 一 区 块 链 的 安全 性 、 控 矿 生态 系统 的 健康 程度 ， 以 
及 货币 的 价值 在 相互 作用 。 我 们 显然 希望 区 块 链 安全 ， 这 样 比 特 币 才 
能 成 为 一 种 可 行 的 货币 。 想 要 区 块 链 安 全 ， 就 要 保证 黑客 不 能 倾覆 共 
识 过 程 。 这 反 过 来 意味 着 ， 一 个 黑客 不 能 够 制造 一 大 堆 挖 矿 节 点 来 占 
据 50% 以 上 的 新 区 块 生成 。 


但 如 何 实现 这 一 点 昵 ? 前 提 条 件 是 有 一 个 健康 的 挖 矿 生 态 系统 ， 
其 中 大 部 分 节 扣 十 诚实 的 、 遵 守 协 议 的 。 但 健康 的 挖 矿 生 态 系 统 的 前 
提 条 件 又 是 什么 呢 一 一 我 们 什么 时 候 可 以 保证 大 多 数 矿 工会 把 大 多 数 
计算 能 力 运用 到 解 哈 希 恋 题 的 竞争 中 呢 ? 好 吧 ， 只 有 在 比特 币 价 位 高 
时 他 们 才 会 这 么 做 ， 因 为 他 们 收 到 的 奖励 是 比特 币 而 他 们 的 花费 都 是 
美元 。 所 以 币 的 价值 越 高 ， 矿 工 束 越 有 动力 这 么 做 。 


那 如 何 保障 币 的 价值 又 高 又 稳定 呢 ? 只 有 用 户 普通 相信 区 块 链 的 
安全 性 才 会 发 生 。 如 果 他 们 认为 网 络 随时 会 被 攻击 者 颠覆 ， 那 比特 币 


作为 货币 将 一 文 不 值 。 所 以 你 可 以 看 到 区 块 链 的 安全 性 、 控 矿 生态 系 
统 的 健康 程度 和 货币 的 价值 这 三 者 之 间 相 互 依赖 、 相 互 作用 的 关系 。 


因为 这 三 者 之 间 的 循环 依赖 关系 ， 其 中 一 个 的 存在 可 以 用 男 一 个 
的 存在 推测 出 来 。 在 比特 币 初创 之 时 ， 这 三 者 都 不 存在 。 除 了 中 本 聪 
目 己 ,没有 人 在 运行 挖 矿 软 件 。 比 特 币 作为 货币 没有 什么 价值 。 事 实 
上 ， 因 为 没有 很 多 人 挖 矿 ， 区 块 链 也 很 不 安全 ， 任 何人 都 可 以 轻易 其 
和 窗 这 个 过 程 。 


这 三 者 在 比特 币 的 世界 如 何 从 无 到 有 并 没有 一 个 简单 的 解释 。 媒 
体 的 关注 是 其 中 一 个 因素 一 一 听 到 比特 币 的 人 越 多 ， 感 兴趣 控 矿 的 人 
束 越 多 。 挖 矿 的 人 越 多 ， 人 们 就 会 对 区 块 链 的 安全 越 有 信心 ， 因 为 更 
多 控 矿 活动 在 进行 ， 以 此 类 推 。 附 市 提 下 ， 每 种 其 他 虚拟 货币 想 要 成 
功 也 需要 想 办 法 通过 目 举 过 程 解决 这 个 问题 。 


51% 攻 击 


我 们 考虑 一 下 如 果 共 识 失败 ， 并 且 存 在 一 个 在 比特 币 网 络 里 实际 
掌握 了 绝 大 部 分 挖 矿 计 算 能 力 的 51% 攻 击 者 ， 会 发 生 什么 情况 。 我 们 
考虑 多 种 可 能 的 攻击 ， 分 析 哪 些 可 能 被 这 样 的 攻击 者 实际 使 用 。 


首先 ， 攻 击 者 可 以 从 现存 的 地 址 里 偷 币 吗 ? 你 可 能 猜 到 了 ， 不 
行 ， 因 为 除非 你 能 推翻 加 密 方 法 ， 人 否则 从 现存 地 址 偷 币 是 不 可 能 的 。 
它 不 足以 颠覆 共识 过 程 。 这 样 说 还 不 是 很 清楚 。 我 们 不 妨 假 设 ，51% 
攻击 者 制造 了 一 个 不 正当 的 区 块 ， 里 面 有 一 笔 不 正当 交易 把 币 从 不 受 
其 控制 的 地 址 转移 到 目 己 的 地 址 。 攻 击 者 可 以 假装 这 是 一 笔 正当 的 交 
易 ， 继 续 在 这 个 区 块 上 建造 ， 甚 至 可 以 把 它 变 成 一 个 最 长 的 文 链 。 但 
其 他 诚实 市 点 不 会 简单 地 接受 这 个 存在 不 正当 交易 的 区 块 ， 它 们 还 是 


会 在 网 络 中 找到 之 前 最 后 一 个 正当 的 区 块 ， 基 于 此 继续 挖 矿 。 所 以 将 
会 发 生 的 是 ， 链 上 出 现 了 我 们 称 之 为 分 义 的 情况 。 


现在 想象 一 下 这 个 攻击 者 想 把 这 些 非法 的 币 花 掉 ， 付 给 某 个 商家 
鲍 勃 用 来 买 他 的 商品 或 者 服务 。 鲍 勃 可 以 假定 运行 着 自己 的 比特 币 节 
点 ， 而 且 是 一 个 诚实 节点 。 那 鲍 勃 的 节点 会 因为 含有 不 正当 的 交易 而 
拒绝 这 个 非法 的 分 文 。 因 为 那里 面 的 数字 签名 不 吻合 。 所 以 鲍 勃 的 节 
点 会 忽略 这 个 最 长 的 支 链 ， 因 为 这 是 一 个 非法 的 支 链 。 而 因此 ， 这 不 
足以 颠覆 共识 。 你 需要 推翻 加 密 方法 偷 取 比 特 币 。 所 以 我 们 认为 ， 这 
个 攻击 对 519% 攻 击 者 来 说 是 不 可 能 的 。 


我 们 应 该 注意 到 这 是 一 个 想象 的 实验 。 如 采 实 际 中 真 的 有 5196 攻 
击 的 迹象 ， 可 能 会 发 生 的 是 开发 者 会 注意 到 并 采取 应 对 措施 。 他 们 会 
升级 比特 币 软件 ， 我 们 可 以 期 竺 系统 规则 〈 包 括 点 对 点 网 络 ) 可 能 会 
做 出 改变 ， 使 得 这 样 的 攻击 难以 成 功 。 但 我 们 无 法 准确 预测 。 所 以 ， 
我 们 是 在 一 个 简化 的 模型 上 讨论 51% 攻 击 ， 但 除 此 之 外 系统 规则 并 没 
有 改变 和 扭曲 。 


我 们 考虑 为 一 种 攻击 。51% 攻 击 者 可 以 压制 其 他 交易 吗 ? 比如 攻 
击 者 特别 讨厌 某 个 用 户 卡 罗 尔 。 他 知道 卡 罗 尔 一 些 地 址 ， 想 使 属于 这 
些 地 址 的 币 都 无 法 使 用 。 这 可 能 吗 ? 由 于 攻击 者 控制 了 区 块 链 的 共识 
过 程 ， 他 可 以 轻易 地 拒绝 创造 包含 来 目 卡 罗 尔 地 址 的 交易 的 新 区 块 ， 
他 还 可 以 进一步 拒绝 在 合 有 类 似 交 易 的 区 块 上 延展 。 但 他 不 能 阻止 这 
个 交易 被 广播 到 整个 点 对 点 网 络 ， 因 为 网 络 不 依赖 于 区 块 链 或 者 共 
识 ， 我 们 假设 攻击 者 还 没完 全 掌控 网 络 。 他 不 能 阻止 这 个 交易 被 发 送 
到 绝 大 部 分 节点 上 ， 所 以 即使 他 成 功 了 ， 大 家 也 都 知道 发 生 了 攻击 。 


攻击 者 可 以 改变 区 块 奖励 吗 ? 比如 说 攻击 者 开始 假装 把 区 块 奖 励 
由 25 个 币 改 成 100 个 币 ? 这 古 对 系统 规则 的 改动 ， 因 为 他 没有 控制 所 有 
诚实 市 点 上 运行 着 的 比特 币 软 件 备 份 ， 所 以 同样 不 可 能 。 这 和 为 什么 


攻击 者 无 法 装 入 一 笔 非 法 交易 的 道理 是 一 样 的 。 其 他 节点 不 会 轻易 认 
可 区 块 奖励 提高 ， 所 以 他 也 无 法 使 用 这 些 区 块 。 


最 后 ， 这 个 攻击 者 会 摧毁 大 家 对 比特 币 的 信心 吗 ? 好 吧 ， 让 我 们 
想象 一 下 会 发 生 什 么 。 如果 有 很 多 双重 文 付 党 试 ， 诸 如 和 点 不 延展 最 
长 的 有 歼 分 文 ， 以 及 发 生 其 他 攻击 ， 那 么 人 们 有 可 能 会 觉得 比特 币 不 
再 是 一 个 他 们 可 以 信赖 的 去 中 心 化 账 筹 。 人 们 会 对 货币 失去 信心 ， 我 
们 可 以 预料 到 比特 币 汇 率 会 重 挫 。 实 际 上 ， 如 果 人 们 知道 有 一 方 控 制 
了 51% 的 哈 希 算 力 (hash power) ， 即 使 这 个 人 没有 发 动 任何 攻击 ， 大 
家 也 可 能 会 对 比特 币 失去 信心 。 所 以 ， 这 不 仅仅 是 可 能 ， 事 实 上 任何 
形式 的 51% 攻 击 都 会 摧毁 大 家 对 货币 的 信心 。 这 其 实 是 51% 攻 击 可 以 
实现 的 最 主要 的 实际 威胁 。 考 虑 到 在 攻击 比特 币 ， 实 现 51% 多 数 的 过 
程 中 ， 财 政 角 度 的 巨大 花费 ， 我 们 讨论 的 这 些 攻 击 都 会 变 得 不 切实 
际 。 


我 们 希望 至 此 你 对 比特 币 的 去 中 心 化 管理 有 了 一 个 完整 的 了 解 。 
你 也 应 该 理解 了 比特 币 里 的 号 份 如 何 工 作 、 交 易 是 如 何 被 传播 和 验证 
的 、 比 特 币 里 点 对 点 网 络 的 作用 、 如 何 用 区 块 链 达成 共识 、 画 数 难 题 
与 控 信 是 怎 么 回 事 。 这 些 概念 为 理解 比特 币 的 更 多 微妙 细节 和 细微 差 
别提 供 了 坚实 的 理论 基础 ， 征 一 个 良好 的 出 发 点 。 这 些 我 们 在 后 续 章 
节 中 会 进一步 有 到 
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第 3 章 


比特 币 的 运行 机 制 


在 这 一 章 我 们 重点 剖析 一 下 比特 币 的 运行 机 制 。 前 两 章 里 ， 我 们 
征 在 相对 谤 泛 的 层面 讨论 了 比特 币 ， 在 这 一 章 中 我 们 将 深入 细节 ， 真 
正 近 距 离 地 了 解 比特 币 所 使 用 的 数据 结构 、 实 际 脚本 以 及 语言 ， 这 种 
较为 精准 的 介绍 会 为 本 书后 面 的 章 届 建立 场景 。 这 一 章 会 有 大 量 细 市 
性 的 信息 ， 极 具 挑 成 。 本 章 可 以 帮助 我 们 真正 懂得 比特 币 的 实质 。 


如 第 2 章 所 述 ， 比 特 币 的 共识 机 制 设 定 了 一 个 只 允许 往 里 写 入 的 账 
泗 ， 而 且 一 旦 数据 被 写 入 ， 它 将 永远 被 储存 在 那里 。 去 中 心 化 (或 者 
分 布 式 ) 协议 确保 了 账簿 中 存储 数据 的 共识 ， 而 矿工 会 执行 协议 并 确 
认 交 易 ， 这 些 机 制 可 以 确保 每 一 笔 多 易 部 是 真实 发 生 的 ， 而 且 账 秒 中 
的 每 一 个 比特 币 痢 没有 人 被 使 用 过 。 这 样 ， 这 个 账簿 从 功能 上 束 形 成 了 
一 种 货币 系统 。 同 时 ， 我 们 也 假设 ， 可 以 使 用 货币 奖励 矿工 ， 使 矿工 
有 积极 地 完成 记 账 操作 的 动力 。 在 本 章 中 ， 我 们 将 详细 介绍 如 何 建立 
货币 系统 、 如 何 奖 励 矿 工 ， 从 而 保证 整个 流程 有 序 运行 。 


3.1 比特 币 的 交易 


让 我 们 先 一 起 看 一 下 比特 币 的 交易 ， 比 特 币 交易 的 过 程 其 实 束 十 
不 停 地 创造 区 块 的 过 程 ， 为 了 理解 上 的 方便 ， 我 们 先 看 一 个 简单 模式 
的 账簿 ， 在 这 个 账簿 里 ， 每 一 笔 交 易 依次 被 添加 a 到 账 注 里 。 


那 我 们 如 何 使 用 这 个 账 短 来 创造 一 种 货币 呢 ? 有 先 你 可 能 想到 
(也 是 许多 人 误 认 作 比 特 币 使 用 的 方式 ) : 建立 一 个 以 账户 为 核心 的 
系统 ， 可 以 创造 新 的 币 并 且 放 入 某 人 的 账号 ， 然 后 束 可 以 转 给 其 他 人 
了 。 一 笔 区 易 的 信息 殉 像 这 样 : “把 爱丽 丝 账户 里 17 个 币 转 给 饱和 莉 ”， 然 
后 由 爱丽 丝 釜 名。 我 们 从 图 3.1 可 以 看 到 ， 爱 丽 丝 在 第 一 笔 交 易 里 收 到 
25 个 币 ， 然 后 转 了 17 个 币 给 鲍 动 ， 她 的 账户 里 应 该 还 有 8 个 币 。 


系统 制造 了 25 个 币 给 爱丽 丝 ， 由 矿工 确认 
爱丽 丝 转 了 17 个 币 给 鲍 勃 ， 由 爱丽 丝 签名 


鲍 勃 转 了 8 个 币 给 卡 罗 尔 ， 由 鲍 勃 签名 
E 罗 尔 转 了 5 个 币 给 爱丽 丝 ， 由 卡 罗 尔 签名 
爱丽 丝 转 了 15 个 币 给 戴 维 ， 由 爱丽 丝 签 名 


图 3.1 基于 账户 的 账 筹 


这 么 做 的 不 便 之 处 在 于 ， 任 何人 如 琳 想 要 确认 一 笔 多 易 古 否 真 
实 ， 就 必须 跟踪 每 一 个 账户 的 余额 。 让 我 们 再 看 一 下 图 3.1， 当 爱丽 丝 
想 要 转 给 戴 维 15 个 币 的 时 候 她 是 否 真 的 有 15 个 币 呢 ? 为 了 搞 清 苞 这 个 
问题 ， 我 们 必须 回 过 头 去 看 和 爱丽 丝 有 关 的 所 有 交易 ， 并 加 总 来 确认 
当时 的 余额 。 当然 ,我们 可 以 有 一 些 更 有 效 的 办 法 ， 比 如 男 外 增加 一 


个 数据 字段 ， 用 来 更 新 每 次 交易 后 的 账户 余额 ， 但 这 也 增加 了 记 账 的 
工作 量 。 


所 以 ， 比 特 币 并 没有 用 这 种 记 账 方式 ， 而 是 用 了 我 们 在 第 1 章 1.5 市 
里 提 到 的 “ 财 妈 币 ” 相 类 似 的 方法 来 记录 交易 。 


这 种 方式 束 像 财 妈 币 里 的 付 币 ， 每 个 交易 中 都 有 一 个 输入 值 和 输 
出 值 。 输 入 值 可 以 看 成 是 将 被 消费 掉 的 币 (这 些 币 是 前 一 个 交易 创造 
出 来 的 ， 把 输出 看 成 是 在 本 次 交易 中 创造 出 来 的 币 。 和 铸造 新 币 时 ， 
只 会 创造 新 币 ， 而 不 会 消费 旧 币 (就 像 财 奴 币 里 的 造 币 ， 只 有 输出 ， 
没有 输入 ) 。 每 笔 交 易 都 有 一 个 独一无二 的 ID。 每 笔 交 易 中 可 能 有 多 
个 输出 ， 输 出 的 索引 从 0 开始 ， 所 以 我 们 称 第 一 个 输出 为 “输出 0”。 


我 们 现在 来 看 图 3.2。 交 易 1 十 铸造 刹 币 的 交易 ， 因 此 没有 输入 ， 也 
没有 签名 ; 交易 1 的 输出 是 癌 爱 丽 丝 转移 25 个 币 。 现 在 ， 爱 丽 丝 想 把 一 
些 币 转 给 鲍 勒 ， 她 就 创造 了 一 条 新 的 交易 ， 这 就 是 图 3.2 中 的 交易 2。 在 
交易 里 ， 她 必须 明确 指出 要 转 出 的 币 的 来 源 (引用 之 前 的 某 笔 交 
易 ) 。 爱 丽 丝 指 出 本 次 交易 的 币 来 自 交 易 1 中 的 输出 0 (也 是 交易 1 中 的 
唯一 输出 ) ， 即 向 爱丽 丝 转 移 25 个 币 。 交 易 中 ， 爱 丽 丝 还 要 明确 收 款 
人 一 一 也 驳 羡 输出 的 地 址 ， 在 这 个 例子 里 ， 有 两 个 输出 ， 一 个 是 转 17 
个 币 给 鲍 蕊 ， 男 一 个 十 轩 8 个 币 给 爱丽 丝 日 己 。 当 然 ， 整 个 交易 由 爱丽 
丝 等 名 ， 这 样 ， 大 家 束 知 道 这 笔 交 易 爱 丽 丝 是 确实 授权 了 的 。 


输入 : 0 
: 25.0 一 爱丽 丝 


LO 
出 : 17.0 一 鲍 支 ，8.0 一 爱丽 丝 由 爱丽 丝 签 名 


入 : 2 [0] 
出 : 8.0 一 卡 罗 尔 ，9.0 一 鲍 勃 由 饮 勃 签名 


TA 
偷 出 :6.0 一 戴 维 ，2.0 一 爱丽 丝 ” 由 爱丽 丝 签名 


图 3.2 与 比特 币 类 似 的 基于 交易 的 账本 


地 址 转换 。 在 这 个 例子 里 ， 为 什么 爱丽 丝 要 把 币 转 给 自己 呢 ? 事 
实 上 比特 币 整 像 财 奴 币 中 摘 述 的 币 一 样 ， 一 个 交易 中 输出 的 币 ， 要 么 
在 男 一 个 交易 中 被 完全 消费 挥 ， 要 么 束 一 个 都 不 被 消 费 ， 不 存在 只 消 
费 部 分 的 情况 。 爱 丽 丝 只 需 付 给 鲍 莹 17 个 币 ， 但 爱丽 丝 在 上 一 交易 中 
实际 获得 了 25 个 币 ， 为 了 把 这 些 币 全 部 消费 掉 ， 她 必须 再 转 给 自己 8 个 
币 。 这 8 个 币 可 以 转 到 另外 一 个 地 址 (不 同 于 交易 1 中 获得 25 个 币 的 地 
址 ) ,但 前 提 是 该 地 址 为 爱丽 丝 所 有 ， 这 就 叫 地 址 转换 。 


有 效 验 证 。 当 一 个 新 的 交易 被 加 入 总 账 ， 它 的 有 效 性 是 否 容易 被 
验证 ?在 这 个 例子 里 ， 我 们 要 核查 一 下 爱丽 丝 引 用 的 交易 输出 ， 确 认 
她 确实 有 25 个 币 没有 被 花费 挥 。 因 为 我 们 使 用 了 哈 布 指针 ， 所 以 核查 
很 快 。 为 了 确认 这 25 个 币 没有 被 伦 掉 ， 我 们 只 需 从 爱丽 丝 所 引用 的 区 
易 开 始 ， 一 直 核 查 到 账本 上 最 新 记录 的 交易 为 止 即 可 一 一 而 不 需要 从 
账本 建立 之 初 的 交易 开始 核查 。 而且， 这 种 方法 也 不 需要 增加 额外 的 
数据 结构 (当然 ， 我 们 将 会 看 到 ， 加 入 新 的 数据 结构 将 进一步 提高 速 
度 ) 


资金 合并 。 和 财 奴 币 一 样 ， 比 特 币 交易 可 能 有 许多 输入 与 输出 ， 
俯 金 分 隔 与 合并 也 很 容易 。 假 如 鲍 动 在 两 笔 不 同 的 交易 中 分 别 收 到 17 
个 币 和 2 个 币 ， 现 在 他 想 把 这 两 笔 钱 合并 起 来 花 挥 ， 这 很 容易 ， 他 只 和 需 
发 起 一 个 交易 ， 交 易 里 有 两 个 输入 和 一 个 输出 ， 输 出 的 地 址 十 他 目 己 
的 地 址 ， 这 样 ， 鲍 动 束 把 两 个 交易 合 二 为 一 了 。 


共同 支付 。 同样 地 ， 共 同 支付 也 很 容易 做 到 。 如 果 卡 罗 尔 和 鲍 勃 
想 妥 共同 文 付 给 戴 维 ， 他 们 可 以 发 起 一 个 交易 ， 交 易 里 也 有 两 个 输入 
和 一 个 输出 ， 唯 一 不 同 在 于 ， 两 个 输入 所 引用 的 “上 一 笔 交 易 ” 的 输出 地 
址 不 同 ， 因 此 ， 这 笔 交 易 需要 两 个 签名 : 卡 罗 尔 的 和 印 动 的 。 


交易 语法 。 比特 币 交 易 涉及 的 概念 就 是 上 面 这 些 。 我 们 再 来 看 看 
比特 币 交 易 在 故 层 是 如 何 实现 的 。 实 际 上 ， 比 特 币 在 网 络 上 传输 的 数 


据 结构 都 是 一 串 字 符 ， 图 3.3 显 示 了 一 个 真实 的 程序 ， 经 过 编译 束 会 变 
成 供 机 器 执行 的 二 进 制 代码 了 。 


"hash":"5a42590fbe0a90ee8e8747244d6c84f0db1a3a24e8f1b95b10c9e050990b8b6b"， 
"Vep" wt 
VEn_ Sz, 
"vout sz":1, 
"lock time":0, 
"size":404, 
“nes 
{ 
"prev_out":{ 
"hash":"3be4ac9728a0823cf5e2deb2e86fc0bd2aa503a91d307b42ba76117d79280260"， 
"ns 
}s 
"sceriptSie” "30440.,. ,0 


A )， 
输入 { 


"prev_out":{ 
"hash":"7508e6ab259b4df0fd5147bab0c949d81473db4518f81afc5c3f52f91ff6b34e"， 
nn":0 

}, 

"epiptSsie s SFM 


} 
]， 
"out™s[ 
{ 
"value":"10.12287097"， 
"scriptPpubKey":"OP_ DUP OP_HASH160 69e02e18b5705a05dd6b28ed517716c894b3d42e 
OP_EQUALVERIFY OP_CHECKSIG" 


输出 


图 3.3 一 个 真实 的 比特 币 交 易 程序 段 


从 图 3.3 可 以 看 到 ， 一 个 比特 币 交 易 分 成 三 部 分 ， 元 数据 、 一 系列 
的 输入 和 一 系列 的 输出 。 


e 元 数据 。 这 里 存放 一 些 内 部 处 理 的 信息 : 包含 这 笔 交 易 的 规 
模 、 输 入 的 数量 、 输 出 的 数量 ， 还 有 此 笔 多 易 的 哈 硕 值 ， 也 束 是 这 
个 交易 独一无二 的 ID。 我 们 可 以 用 哈 希 指针 指 癌 这 个 ID。 最 后 还 有 
一 个 “锁定 时 间 ” (lock_time) ， 我 们 后 面 会 谈 到 。 


e。 输 入。 所 有 输入 排 成 一 个 序列 ， 每 个 输入 的 格式 都 是 一 样 
的 。 输 入 需要 明确 说 明之 前 一 笔 交 易 的 某 个 输出 ， 因 此 它 包 括 之 前 
那 笔 多 易 的 哈 布 值 ， 使 其 成 为 指 疝 那 个 特定 交易 的 哈 布 指针 。 这 个 
输入 部 分 同时 包括 之 前 交易 输出 的 索引 和 一 个 签名 ;我们 必须 有 签 
名 来 证 明 我 们 有 资格 去 文 配 这 笔 比特 币 。 

e 输出 。 所 有 输出 也 排 成 一 个 序列 。 每 个 输出 的 内 容 分 成 两 部 
分 。 所 有 输出 的 金额 之 和 必须 小 于 或 等 于 输入 的 金额 之 和 。 当 输出 
的 总 金富 小 于 输入 辟 金额 时 ， 输 出 的 总 金额 与 输入 的 忌 金 额 的 差额 
部 分 ， 就 作为 交易 费 文 付 给 为 这 笔 交 易 记 账 的 矿工 。 


一 长 串 怪 怪 的 (funny) 字符 看 上 去 像 是 接收 地 址 。 实 际 上 ， 每 个 
输出 都 要 和 一 个 特定 的 公 钥 (地址) 对 应 ， 所 以 这 一 长 串 字 符 里 面 确 
实 有 一 部 分 看 上 去 是 公 钥 的 哈 硕 值 ， 但 里 面 还 有 一 部 分 看 上 去 像 指令 
集合 的 东西 ， 它 其 实 是 一 个 比特 币 的 脚本 ， 下 文 展开 介绍 。 


3.2 比特 币 的 脚本 


每 个 交易 输出 不 仅 确定 了 一 个 公 钥 ， 其 实 同时 指定 了 一 个 脚本 。 
那 脚本 是 什么 ? 为 什么 我 们 要 用 一 个 脚本 ? 在 这 一 市 我 们 要 学 习 比 特 
币 的 工作 控制 语言 ， 也 叫 脚本 。 之 后 ， 我 们 束 会 仅 得 为 什么 要 用 一 个 
脚本 ， 而 不 是 简单 地 分 配 一 个 公 钥 。 


最 第 见 的 比特 币 交 易 ， 束 是 通过 菜 人 的 签名 去 取得 他 在 前 一 笔 交 
易 中 获 得 的 资金 。 这 种 情况 下 ， 我 们 希望 交易 的 输出 包含 这 样 的 信 
轧 : “ 完 借 邯 址 X 的 所 有 着 的 签名 ， 才 可 以 获得 这 笔 催 金 。" 我 们 知道 地 
址 其 实 束 是 一 个 公 钥 的 哈 布 值 ， 所 以 仅仅 说 地 址 Xx 并 没有 上 告诉 我 们 公 和 钠 
在 哪里 ， 也 没有 给 我 们 一 个 检查 签名 的 方法 。 所 以 ， 区 易 输出 必须 这 
样 描述 :“ 抠 借 输 希 值 为 X 的 公 钥 ， 以 及 这 个 公 钥 所 有 着 的 签名， 才 可 
以 获得 这 笔 资 金 。” 这 实际 上 就 古 最 闸 见 的 比特 币 脚本 ， 如 图 3.4 所 示 。 


QP _ DUR 
OP_HASH160 
09e02e18... 
OP_EQUALVERIFY 
OP GHEGKSIG 


图 3.4 P2PH 脚 本 范例 
注 : 一 个 常见 的 比特 币 输出 脚本 范例 。 


那么 谁 执 行 这 个 脚本 ? 这 一 系列 指令 是 如 何 完 成 的 呢 ? 秘密 在 
于 ， 交 易 的 输入 包括 了 脚本 (而 不 是 签名 ) 。 为 了 确认 一 笔 交 易 正 确 
地 获取 了 上 一 笔 交 易 所 输出 的 资金 ， 我 们 把 交易 的 输入 脚本 和 上 一 笔 
交易 的 输出 脚本 串联 起 来 ， 这 个 串联 脚本 必须 被 成 功 地 执行 后 才 可 以 


获取 资金 。 这 两 个 脚本 ， 一 个 是 输出 脚本 (scriptPubKey) ， 男 一 个 是 
输入 脚本 (scriptSig) 。 输 出 脚本 只 是 指定 了 一 个 公 钥 〈 或 是 公 钥 哈 硕 
值 的 地 址 ) ， 输 入 脚本 指定 了 一 个 对 应 公 钥 的 签名 。 图 3.5 束 是 两 个 脚 
本 结合 的 案例 。 


比特 币 脚本 语言 


这 个 脚本 语言 是 为 比特 币 开 发 的 。 在 比特 币 里 只 叫 作 “脚本 ”。 它 和 
男 一 种 Forth 语 言 有 很 多 相似 的 地 方 ，Forth 是 一 种 简单 的 堆栈 式 编 程 语 
言 (stack-based programming language) ， 但 你 并 不 需要 先 学 习 Forth 语 
言 才 会 使 用 比特 币 的 脚本 语言 。 比 特 币 的 脚本 语言 设计 原则 就 是 简明 
扼要 ， 并 内 生地 文 持 加 蜜 操作 。 比 如 ， 脚 本 里 面 有 目的 性 的 指令 用 来 
计算 哈 希 值 和 检验 签名 。 


这 种 脚本 语言 是 堆栈 式 的 ， 意 味 着 每 个 指令 只 被 执行 一 次 ， 是 线 
性 的 ， 无 法 循环 执行 。 所 以 指令 的 数目 给 了 我 们 一 个 执行 时 间 与 内 存 
使 用 的 上 限 。 这 个 语言 不 是 图 灵 完 备 的 ， 意 味 着 不 能 随意 运行 强大 画 
数 功 能 。[ 寺 但 这 是 有 意 设计 的 ， 因 为 矿工 需要 去 执行 这 些 网 络 上 任意 
交易 提交 者 所 递交 的 脚本 ， 设 计 者 并 不 希望 让 他 们 提交 可 能 无 限 循环 
的 脚本 。 


<Slg> 

<pubKey> 

QP DUP 
OP_HASHI160 
<pubKeyHash?> 
OP_EQUALVERIFY 
OP_CHECKSIG 


图 3.5 结合 输入 脚本 和 输出 脚本 范例 
注 ， 为 了 确认 当前 交易 是 否 正确 地 获取 了 前 一 笔 交易 输出 的 资金 ， 我 们 把 两 个 脚本 链接 起 来 
把 上 一 笔 交 易 的 输出 脚本 (图 中 虚线 下 方 ) 添 加 到 当前 交易 的 输入 脚本 (虚线 上 方 ) 之 后 ， 形 
成 一 个 新 的 脚本 。 请 注意 <pubKeyHash?> 里 面 有 一 个 c?“， 用 作 标 识 _ 我 们 后 面 会 来 确认 它 
是 否 与 当前 交易 提供 的 公 钥 的 哈 希 值 一 致 。 


执行 比特 币 脚本 只 能 产生 两 个 结果 : 要 么 被 成 功 执行 ， 这 种 情况 
下 ， 交 易 有 效 ; 要 么 脚本 执行 出 现 错误 ， 这 种 情况 下 ， 整 个 交易 无 
效 ， 拒 绝 记 入 区 块 链 。 


这 个 脚本 语言 十 分 简单 。 只 有 256 个 指令 ， 每 个 只 用 一 个 字 节 。 
256 个 指令 中 ， 有 15 个 目前 不 可 用 ， 有 75 个 被 保留 还 没有 具体 定义 (以 
后 或 许可 以 被 用 来 扩展 ) ， 剩 下 的 才 是 可 用 的 。 


许多 在 其 他 语言 里 常见 的 基本 指令 这 里 面 都 有 。 例 如 ， 基 本 的 算 
数 、 逻 辑 语句 (如 If-then) 、 抛 出 错误 、 过 早 返回 等 。 而 且 ， 还 有 密码 
日 令 ， 比 如 哈 希 函数 语句 、 签 名 验证 语句 ， 还 有 一 个 重要 的 特殊 指令 
是 “CHECKMULTISIG 可 以 查证 多 个 签名 。 表 3.1 列 举 了 一 些 比特 
币 工 作 控制 语言 里 的 常用 语句 。 


CHECKMULTISIG 指 令 要 求 指 定 n 个 公 钥 和 一 个 参数 t (作为 一 个 临 
界 值 ) 。 这 个 指令 正确 执行 的 条 件 是 : 在 n 个 公 钥 中 ， 至 少 可 以 选 出 t 个 
现时 有 效 的 签名 。 我 们 在 本 章 3.3 节 会 示范 这 个 指令 的 用 法 ， 但 现在 我 


们 需要 认识 到 这 个 原生 指令 是 非常 强大 的 ， 它 以 一 种 极其 精练 的 方式 
协助 我 们 查验 交易 中 的 多 方 签名 。 


不 过 ， 目 前 比特 币 多 方 签名 功能 实现 过 程 中 有 一 个 缺陷 ， 
CHECKMULTISIG 指 令 在 执行 的 时 候 会 返回 一 个 没 用 的 值 ， 而 且 系 统 
还 必须 要 安排 一 个 堆栈 中 的 变量 去 储存 它 ， 然 后 再 忽略 掉 。 由 于 修复 
这 个 缺陷 成 本 很 高 ， 两 害 相 权 取 其 轻 ， 这 个 缺陷 就 一 直 没 被 修复 ， 我 
们 在 第 3 章 3.6 节 会 再 做 讨论 。 但 目前 ， 这 个 程序 缺陷 也 算是 比特 币 的 一 
个 特性 。 


表 3.1 一 些 比特 币 脚本 工作 语言 中 的 指令 及 其 功能 
指令 名 称 功能 
OP_DUP 复制 堆栈 顶端 数据 


计算 哈 希 函数 两 次 : 第 一 次 用 SHA -256, 第 二 次 用 
RIPEMD - 160 


OP_ HASHI160 


如 果 输 入 是 相同 的 ， 返回 真 
如 果 输 入 是 不 同 的 ， 返 回 假 ， 整 个 交易 作废 


OP_ CHECKSIG 检查 输入 的 签名 是 否 有 效 


OP_ EQUALVERIFY 


检查 在 交易 中 t 个 公 钥 (地 址 ) 对 应 的 t 个 签名 是 否 


OP_ CHECKMULTISIG 汪 
有 效 


执行 一 个 脚本 


在 堆栈 语言 里 执行 一 个 脚本 ， 我 们 只 需要 一 个 堆栈 来 又 积 数 据 ， 
不 需要 分 配 任何 内 存 与 变量 。 因 此 ， 堆 栈 语言 中 计算 相当 容易 。 总 共 
有 两 类 指令 ， 数 据 指令 和 工作 码 指令 。 数 据 指令 的 作用 是 把 数据 推 到 
堆栈 的 最 上 面 ; 工作 码 指令 则 通常 是 用 堆栈 顶部 的 数据 作为 输入 值 ， 
用 来 计算 一 个 画 数 。 


我 们 现在 来 一 起 看 一 下 ， 图 3.5 这 上 段 脚本 是 怎么 执行 的 。 图 3.6 给 我 
们 展示 了 每 一 条 指令 执行 后 的 堆栈 状态 。 脚 本 中 的 前 两 条 指令 属于 数 
据 指令 ， 分 别 是 输入 脚本 (包含 在 交易 的 输入 项 ) 中 的 签名 和 用 来 验 
证 签名 的 公 铀 。 我 们 前 面 所 到 过 ， 一 看 到 数据 指令 ， 系 统 融 把 它 堆 到 
堆栈 最 上 面 。 后 面 几 个 指令 是 输出 脚本 (包含 在 上 一 交易 的 输出 项 
路 ) 时 I 人 


首先 ， 我 们 复制 指令 OP_DUP， 这 一 步 仅 仅 是 将 堆栈 最 上 层 的 公 铀 
复制 ， 并 置 于 堆栈 最 上 层 ; 下 一 个 指令 是 OP_HASH160， 该 指令 取得 
堆栈 最 上 层 的 数据 ， 并 计算 其 哈 希 值 ， 然 后 将 结果 再 堆 到 堆栈 最 上 
层 。 当 指令 执行 完成 后 ， 我 们 将 堆栈 最 上 层 的 公 钥 蔡 换 成 了 公 钥 的 哈 
布 值 。 


<sig> <pubKey> OP_DUP OP_HASH160 <pubKeyHash?> 《OP_EQUALVERIFY> OP_CHECKSIG 


图 3.6 比特 币 脚本 的 执行 堆栈 状态 图 
注 : 图 中 底部 列 出 了 相对 应 的 指令 : 尖 括 号 里 的 是 数据 指令 ， 以 OP 开头 的 是 工作 码 指令 ， 指 
令 上 方 对 应 的 是 指令 执行 之 后 的 堆栈 状态 。 


接 下 来 ， 我 们 还 要 在 堆栈 顶层 再 推送 一 些 数据 : 此 笔 交 易 发 送 着 
指定 的 公 钥 的 哈 硕 值 ， 以 及 对 应 的 私 铀 ， 这 样 才 可 完成 签名 ， 取 得 货 
金 。 此 时 ， 堆 栈 顶 部 有 两 个 数值 ， 一 个 是 发 送 痢 指 定 的 公 钥 的 哈 布 
值 ， 另 一 个 是 接收 着 想 要 取得 资金 时 提交 的 公 钥 的 哈 硕 值 。 


这 个 时 候 ， 我 们 就 要 执行 ECQUALVERIFY 命 令 了 ， 这 个 命令 是 用 来 
检查 堆栈 顶部 两 个 数值 是 否 相 等 的 。 如 果 不 相 等 ， 就 会 抛 出 一 个 失败 
信号 ， 并 且 停 止 执 行 脚 本 。 不 过 现在 我 们 假设 其 相等 ， 也 就 代表 着 接 
收 者 使 用 的 是 正确 的 公 钥 。 这 条 指令 会 移 除 堆栈 顶部 的 两 条 数据 ， 这 
时 ， 堆 栈 还 剩 下 两 个 数据 : 公 钥 以 及 签名 。 


我 们 已 经 证 实 接收 者 使 用 的 公 钥 确实 就 是 交易 里 指定 的 公 钥 ， 但 
现在 我 们 必须 证 实 这 个 签名 是 真 的 。 这 时 ， 使 用 OP_CHECKSIG 指 令 即 
可 。 这 里 我 们 可 以 看 出 比特 币 的 脚本 语言 虽然 简单 ， 但 很 强大 。 它 只 
用 “OP_CHECKSIG” 束 能 实现 一 个 很 复杂 的 事情 : 移 除 堆栈 里 两 个 数 
值 ， 然 后 用 公 钥 来 证 实 整个 交易 的 签名 是 真 的 。 


但 这 里 的 签名 究竟 是 对 什么 的 签名 ? 签名 函数 的 输入 是 什么 ? 实 
际 上 ， 在 比特 币 中 ， 我 们 只 可 以 对 一 个 事情 进行 签名 一 一 驳 是 整个 交 
易 。 所 以 ，CHECKSIG 指 令 从 堆栈 中 取出 两 个 数据 ( 公 钥 以 及 签 
名 ) ， 并 验证 签名 对 于 整个 交易 (使 用 对 应 公 钥 发 起 的 交易 ) 来 说 是 
有 效 的 。 现 在 我 们 完成 了 所 有 的 指令 ， 堆 栈 里 面 什么 也 不 剩 。 假 设 没 
有 碰 到 任何 差错 的 话 ， 这 个 脚本 的 输出 就 是 一 个 “ 真 ” 表 示 这 个 交易 是 正 
当 有 效 的 。 


实际 情况 


理论 上 来 讲 ， 通 过 脚本 ， 我 们 可 以 随意 地 为 比特 币 文 付 设 定 条 
件 。 当 然 ， 从 2015 年 的 情况 看 ， 这 些 特 性 也 并 不 太 第 用 到 。 如 于 我 们 
回顾 比特 币 历史 中 曾经 实际 用 到 的 脚本 ， 绝 大 多 数 的 比特 币 使 用 的 脚 
本 部 非常 基 础 ， 像 前 文 的 例子 一 样 : 指定 一 个 公 钥 ， 然 后 通过 验证 签 
名 来 使 用 这 个 币 。 


当然 ， 实 际 中 也 会 使 用 一 些 其 他 指令 ， 比 如 MULTISIG， 还 有 一 种 
支付 给 脚本 的 哈 希 值 (Pay-to-script-hash， 简 称 P2SH， 我 们 很 快 会 谈 
到 ) 等 ， 但 除 此 之 外 ， 平 时 常用 的 指令 真 不 多 ， 因 为 每 个 节点 都 有 一 份 
标准 脚本 的 日 名 单 ， 它 们 会 拒绝 接受 不 在 名 单 上 的 脚本 。 这 倒 不 是 说 
无 法 运行 其 他 脚本 ， 只 是 使 用 起 来 比较 麻烦 。 事 实 上 这 样 的 安排 也 很 
巧妙 ， 我 们 会 在 谈论 比特 币 点 对 点 网 络 的 时 候 再 进行 摘 述 。 


销毁 证 明 


销毁 证 明 (proof of bum) 脚本 ， 用 于 销毁 比特 币 〈《 即 防止 资金 被 
赎 回 ) 。 如 果 交 易 代 码 的 运行 结果 是 将 比特 币 转 到 “销毁 证 明 ” 脚 本 ， 那 
么 这 笔 比特 币 将 被 销毁 。 实 际 应 用 中 主要 是 用 来 引导 客户 使 用 其 他 数 
字 货 币 系统 ， 即 将 比特 币 销毁 ， 以 便 获 得 另 一 个 数字 货币 系统 发 行 的 
新 币 。 我 们 会 在 第 10 章 展开 叙述 。 销 毁 证 明 脚本 使 用 起 来 非常 简便 : 
使 用 OP_RETURN 脚 本 来 抛 出 错误 ;不 论 之 前 指令 的 运行 结果 是 什么 ， 
OP_RETURN 指 令 总 会 被 执行 ， 并 相应 抛 出 一 个 错误 ， 脚 本 返回 一 
个 “错误 ”(false) 值 。 


由 于 OP_RETURN 以 抛 出 错误 的 形式 结束 脚本 ， 其 后 的 所 有 指令 都 
不 会 执行 。 利 用 这 个 特性 ， 我 们 可 以 往 脚本 中 植 入 任意 信息 ， 这 些 信 
恩 也 将 被 存储 在 区 块 链 中 。 假 如 你 想 通 过 署名 或 者 副 时 间 玲 的 方式 来 
证 明 你 在 某 个 时 候 知 道 菜 件 事情 ， 束 可 以 发 起 一 笔 极 小 额 的 比特 币 交 
吻 ， 在 脚本 中 加 入 上 述 信 息 ， 并 使 用 销 驱 证 明 脚 本 将 币 销 驳 ， 这 样 融 
可 以 将 信息 永久 地 存储 在 区 块 链 上 。 


文 付 给 脚本 的 哈 布什 


如 前 文 所 述 ， 比 特 币 的 工作 机 制 要 求 币 的 发 送 者 必须 在 交易 时 明 
确 指定 脚本 。 这 种 机 制 有 时 候 不 太 适 用 : 假如 你 在 网 店 看 中 了 一 件 商 
品 并 打算 下 单 ， 你 会 问 卖 家 “请 把 付款 地 址 告诉 我 ， 我 可 以 付款 了 ”， 但 
如 果 卖 家 使 用 了 多 重 签名 地 址 (MULTISIG) ， 那 他 会 说 “ 嘿 ， 我 们 用 
了 多 重 签名 地 址 ， 你 需要 文 付 给 一 个 脚本 地 址 ， 而 不 是 一 个 简单 的 地 
址 >， 但 你 会 说 “我 不 知道 怎么 弄 ， 这 太 复 杂 了 ， 我 只 会 文 付 给 简单 的 地 
址 ”。 


比特 币 用 了 一 种 很 聪明 的 办 法 来 解决 这 个 问题 ,不仅 可 以 实现 多 
重 等 名 地 址 文 付 ， 而 且 还 可 以 实现 复杂 的 货 金 监管 规则 。 比 特 币 使 用 
的 办 法 是 : 收 舱 方 告诉 付款 方 “ 请 把 比特 币 文 付 给 某 个 脚本 地 址 ， 脚 本 
的 哈 希 值 是 xx， 在 取款 的 时 候 ， 我 会 提供 上 述 哈 布 值 对 应 的 脚本 ， 同 
时 ， 提 供 数 据 通过 脚本 的 验证 >， 而 不 是 “请 把 比特 币 文 付 给 某 个 公 钥 ， 
公 钥 的 哈 布 值 是 xx”。 付 款 方 通过 P2SH 即 可 实现 上 述 交 易 。 


需要 说 明 的 是 ，P2SH 脚 本 只 是 对 堆栈 最 顶层 的 数据 进行 哈 希 运 
算 ， 核验 运算 结 琳 是否 与 给 定 的 哈 希 值 一 怪 ， 核 验 通 过 后 ， 青 执行 一 
步 特 殊 的 核验 ， 将 堆栈 最 顶层 的 数据 重新 解读 为 一 系列 指令 ， 然 后 将 
其 作为 脚本 运行 一 次 ， 此 时 ， 堆 栈 中 的 其 他 数据 作为 脚本 的 输入 值 。 


要 做 到 P2SH 还 是 有 点 复杂 的 ， 因 为 P2SH 不 是 比 特 币 的 原始 设计 ， 
征 后 来 加 上 去 的 。 写 解决 了 两 个 重要 的 问题 : 让 付 歌 方 的 文 付 工作 简 
单 化 ， 收 款 方 只 需 告诉 付款 方 一 个 哈 布 值 即 可 。 在 我 们 上 面 的 例子 
中 ， 你 不 再 需要 去 关心 商家 到 抵 用 哪 种 地 址 ， 有 是 否 用 了 多 重 签名 ， 
为 这 只 是 商家 在 文 取 这 笔 款项 时 需要 考虑 的 事情 。 


P2SH 还 实现 了 效率 上 的 提升 : 矿工 的 工作 是 奶 踩 那些 还 没有 被 消 
费 挥 的 输出 脚本 。 采 用 P2SH 的 输出 脚本 会 变 得 很 小 一 一 它们 只 不 过 是 
个 哈 硕 值 而 已 。 所 有 的 复杂 性 都 被 放 在 输入 脚本 中 了 。 


[1] 图 灵 是 第 二 次 世界 大 战 时 英国 数学 家 ， 密 码 学 家 。 他 破译 了 纳粹 的 密码 机 “ 谜 ”， 为 盟 
军 取得 第 二 次 世界 大 战胜 利 做 出 重大 贡献 ， 美 国 好 茉 坞 以 此 题材 拍 了 一 部 电影 《模仿 游戏 》。 
图 灵 完 备 的 意思 是 语言 有 能 力 随意 地 执行 强大 的 函数 。 一 一 译 者 注 


3.3 比特 币 脚本 的 应 用 


现在 我 们 已 经 明日 了 比特 币 脚 本 的 工作 机 制 ， 接 下 来 我 们 看 一 下 
比特 币 脚本 语言 的 一 些 强 大 应 用 。 你 立刻 束 能 明日 ， 比 特 币 将 指定 公 
钥 变 成 复杂 地 指定 脚本 ， 和 是 有 实际 意义 的 。 


第 三 方 文 付 区 易 


比如 ， 爱 丽 丝 用 比特 币 同 鲍 动 闫 东西， 爱丽 丝 想 货 到 付 球 ， 而 鲍 
勃 想见 款 发 货 。 该 如 何 处 理 ? 一 个 好 的 办 法 是 使 用 第 三 方 支付 交易 
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第 三 方 支付 交易 可 以 用 “MULTISIG”( 多 重 签名 ) 来 轻易 实现 。 
爱丽 丝 并 不 直接 付款 给 鲍 勒 ， 而 是 发 起 一 个 多 重 签名 的 交易 ， 并 规 
定 : 三 个 人 中 有 两 人 签名 之 后 ， 资 金 才 能 被 文 取 。 这 三 个 人 旦 爱丽 
丝 、 鲍 勃 与 第 三 方 仲裁 员 朱 迪 (Judy) 。 朱 迪 负责 调解 可 能 发 生 的 纠 
纷 。 因 此 ， 爱 丽 丝 发 起 了 一 个 2/3 的 多 重 签名 交易 来 付款 ， 这 个 交易 规 
定 三 个 人 中 有 了 两 人 签名 之 后 ， 资 金 才能 修文 取 。 这 个 交易 被 纳入 区 块 
链 后 ， 资 金 被 第 三 方 监管 ， 这 三 个 人 中 的 任意 两 个 人 可 以 决定 资金 的 
去 问 。 现 在 ， 鲍 才 觉 得 可 以 给 爱丽 丝 发 人 了， 通 音 情况 下 ， 如 采 爱 丽 
缘 和 鲍 动 都 是 有 诚信 的 ， 印 动 会 按照 爱丽 丝 要 求 发 货 ， 爱 丽 丝 收 货 
后 和 鲍 动 共同 签名 ， 把 资金 转 给 鲍 芭 。 由 于 三 个 人 中 有 两 人 签名 即 可 
完成 文 付 ， 此 时 ， 由 于 没有 任何 争议 ， 朱 迪 根 本 不 需要 参与 。 和 爱丽 
丝 直接 付款 给 鲍 台 相 比 ， 第 三 方 文 付 交 易 并 不 会 更 复 洒 ， 只 需 在 区 块 
链 里 增加 一 笔 交 易 即 可 。 


但 如 有 果 鲍 邯 其 实 并 未 发 货 ， 或 者 货物 在 路 上 被 和 弄 丢 了 ， 又 或 者 鲍 
靳 发 的 货物 并 不 是 爱丽 丝 想 要 的 ， 这 时 会 出 现 什么 情况 ? 爱丽 丝 党 得 
被 纹 了 ， 所 以 不 打算 付款 给 鲍 范 ， 而 是 想 把 比特 币 从 监管 账户 要 回 
来 。 这 种 情况 下 ， 受 丽 丝 不 会 签名 真正 完成 付 球 ， 而 鲍 劲 肯定 也 不 会 
承认 问题 而 主动 放弃 收 款 ， 这 时 ， 束 需要 朱 迪 判定 资金 到 发 该 转 给 
谁 。 如 果 朱 迪 认 为 鲍 动 欺 矣 爱丽 丝 ， 她 束 会 跟 爱 丽 丝 一 起 签名 ， 把 比 
特 币 退还 给 爱丽 丝 ， 当 然 ， 如 果 她 认为 爱丽 丝 应 该 付款 ， 那 她 就 会 和 
鲍 动 一 起 签名 ， 完 成 资金 的 实际 支付 ， 所 以 ， 到 改 该 完成 支付 或 是 撒 
销 文 付 ， 由 朱 迪 决定 。 当 然 ， 这 种 情况 也 只 有 在 发 生 纠 纷 时 才 出 现 。 


绿色 地 址 


另外 一 个 很 酷 的 应 用 叫 作 绿色 地 址 (green addresses) 。 假 如 爱 
丽 丝 要 转账 给 鲍 勃 ， 而 饱 勃 不 在 线 (或 者 鲍 动 在 线 但 没有 时 间 ) ， 所 
以 他 无 法 通过 查看 区 块 链 的 更 狐 来 确认 转账 是 否 完成 。 一 般 来 说 ， 一 
个 交易 需要 获得 6 次 确认 ， 我 们 才能 确信 它 已 经 确实 被 加 到 区 块 链 中 ， 
但 这 需要 大 约 一 个 小 时 。 但 是 ， 想 象 一 下 ， 如 采 爱 丽 丝 只 是 在 鲍 动 的 
店 里 买 一 个 热狗 ， 这 么 长 时 间 才 确认 交易 ， 显 然 是 不 可 接受 的 ;或 
者 ， 如 果 鲍 动 由 于 某 些 原 因 无 法 接 入 互联 网 ， 那 他 束 一 直 无 法 确认 交 
易 o 


为 了 解决 这 个 问题 ， 比 特 币 采用 了 第 三 方 银行 的 做 法 ， 实 际 
上 ,“ 银 行 ?可 能 是 一 个 交易 所 ， 或 者 是 其 他 的 金融 媒介 。 如 采 爱 丽 丝 
要 转账 给 鲍 勒 ， 爱 丽 丝 会 和 她 的 银行 联系 ,“ 我 要 付 给 饱和 攻 这 些 币 ， 你 
能 办 理 吗 ? ”银行 会 回答 :“ 好 的 。 我 会 从 你 的 账号 扣 钱 ， 然 后 从 我 的 
绿色 地 址 转账 给 鲍 荔 。” 这 样 ， 收 款 人 束 不 需要 实时 查看 区 块 链 来 确认 


交易 。 


需要 注意 的 是 ， 款 项 并 不 是 由 银行 直接 文 付 给 鲍 勒 ， 实 际 上 ， 部 
分 款项 ， 可 能 会 通过 其 他 地 址 回 到 银行 手中 。 但 是 ， 由 于 比特 币 从 银 
行 控 制 的 某 个 账户 一 一 我 们 在 此 所 称 的 “绿色 账户 ?直接 转 给 鲍 萤 ， 而 
且 ， 银行 保 证 它 不 会 双重 文 持 这 个 比特 币 ， 如 末 鲍 盈 也 相信 这 一 点 ， 
当 他 看 到 银行 签名 的 交易 时 ， 就 可 以 确认 目 己 迟早 会 收 到 这 些 比 特 币 
只 要 区 块 链 确认 这 笔 交 易 。 


请 注意 ， 这 不 是 比特 币 技术 系统 的 保证 ， 而 是 现实 世界 中 银行 的 
保证 ， 银 行为 了 保护 它 的 声誉 ， 不 会 双重 支持 比特 币 。 银 行 可 以 向 客 
户 证 明 ，“ 我 一 直 使 用 这 个 账户 来 支付 ， 从 始 至 终 也 没有 发 生 过 双重 支 
付 ， 我 以 前 没有 这 么 做 ， 以 后 也 不 会 这 么 做 。* 如 果 鲍 勃 信任 银行 不 会 
进行 双重 支付 的 承诺 ， 他 就 无 须 信任 爱丽 丝 他 对 爱丽 丝 本 来 就 了 
解 不 多 。 


当然 ， 如 有 果 银 行 出 现 了 双重 文 付 事 件 ， 它 就 会 目 虹 长 城 ， 人 们 不 
会 再 信任 它 。 实 际 上 ， 有 两 个 提供 绿色 地 址 的 机 构 |Instawallet 和 门类 
沟 公 司 《MLGox 的 昵称 ， 位 于 日 本 东 系 ， 有 是 全 球 最 大 的 比特 币 交易 
商 ) 」 就 是 由 于 失信 而 倒闭 的 。 目 前 ， 绿 色 地 址 使 用 得 越 来 越 少 ， 最 
初 ， 人 们 认为 绿色 地 址 可 以 实现 快速 文 付 ， 而 且 不 需要 通过 查看 区 块 
链 来 确认 交易 结 末 ; 但 是 现在 ， 人 们 认为 ， 对 “银行 ?过 分 信任 是 有 风 
险 的 。 


高 效 小 额 支付 (efficient micro-payments) 


我 们 再 举 一 个 比特 币 脚 本 应 用 的 例子 。 假 设 爱丽 丝 是 鲍 艺 的 客 
尸 ， 需 要 持续 向 鲍 劲 文 付 小 额 费 用 ， 例 如 ， 鲍 动 古 爱丽 丝 的 手机 流量 
提供 商 ， 根 据 爱 丽 丝 每 分 钟 使 用 的 流量 计 费 。 但 是 ， 每 分 钟 文 付 一 次 
征 不 现实 的 : 即使 技术 上 做 得 到 ， 交 易手 续费 也 让 人 吃不消 。 


我 们 希望 可 以 把 每 分 钟 的 费用 累积 起 来 ， 最 后 一 次 性 支付 。 为 了 
实现 这 种 想法 ， 爱 丽 丝 先 发 起 一 个 MULTISIG 交 易 ， 把 可 能 花费 的 最 
大 金额 转 到 MULTISIG 地 址 ， 但 这 个 交易 需要 爱丽 丝 与 鲍 劲 两 个 人 的 
签名 才能 生效 。 爱 丽 丝 在 使 用 流量 的 时 候 ， 每 隔 一 分 钟 就 答 名 一 次 ， 
向 饱 勃 文 付 这 分 钟 所 产生 的 流量 费用 ， 然 后 把 剩余 的 钱 转 给 上 自己， 每 
分 钟 重 复 一 次 ， 直 到 挂机 为 止 。 请 注意 ， 这 些 交 易 只 有 爱丽 丝 的 签 
名 ， 还 没有 鲍 邯 的 签名 ， 因 此 ， 交 易 还 没 被 放 进 区 块 链 里 。 爱 丽 丝 挂 
机 之 后 ， 会 告诉 鲍 勃 “我 用 好 了 ， 你 可 以 切断 我 的 服务 了 ”， 此 时 ， 爱 
丽 丝 将 不 再 文 付费 用 ， 钱 对 也 将 切断 服务 ， 然 后 在 爱丽 丝 发 送 的 最 后 
一 个 交易 里 签名 ， 把 它 放 入 区 块 链 里 。 


随 大 每 个 交易 付 给 鲍 动 的 币 越 来 越 多 ， 受 丽 丝 的 币 束 会 越 来 越 
少 。 最 后 一 个 交易 会 一 次 性 回 鲍 勃 文 付 所 有 的 流量 费 ， 然 后 把 剩余 的 
币 还 给 爱丽 丝 。 整 个 过 程 中 ， 爱 丽 丝 单独 签名 的 交易 不 会 进入 区 块 链 
(上 面 没 有 鲍 勃 的 签名 ) ， 最 后 它们 都 会 被 丢弃 掉 。 


从 技术 上 讲 ， 所 有 这 些 交 易 都 是 双重 文 付 。 在 介绍 绿色 地 址 时 ， 
我 们 特别 提 到 防止 双重 支付 的 重要 性 ， 但 在 本 例 中 ， 我 们 却 主动 创造 
了 大 量 的 双重 文 付 。 实 际 上 ， 如 果 双 方 都 是 正常 运作 的 话 ， 鲍 对 只 会 
在 最 后 一 个 交易 上 签名 ， 所 以 我 们 在 区 块 链 上 看 不 到 中 间 产 生 的 那些 
双重 文 付 交 易 。 


还 有 一 个 微妙 的 细节 : 如 果 鲍 勃 没 有 在 最 后 一 个 交易 上 签名 呢 ? 
他 可 能 会 说 , “就 让 那些 币 待 在 第 三 方 托管 地 址 里 吧 。” 这 样 一 来 ， 爱 
丽 丝 就 会 失去 她 一 开始 转 到 MULTISIG 地 址 的 所 有 比特 币 。 但 我 们 有 
一 个 聪明 的 办 法 来 解决 这 个 问题 ， 那 就 是 我 们 前 面 看 到 的 一 个 代码 
一 一 锁定 时 间 。 


峰 定 时 间 


为 了 避免 上 面 说 的 这 个 问题 ， 在 小 额 文 付 协议 开始 之 前 ， 爱 丽 丝 
与 鲍 牵 要 签订 一 个 交易 ， 约 定 同 爱 丽 丝 退 还 所 有 的 比特 币 ， 但 是 这 
个 “ 退 款 ”行为 被 上 了 锁 ， 直 到 锁定 时 间 到 了 为 止 。 爱 丽 丝 发 起 
MULTISIG 交 易 把 比特 币 转 入 第 三 方 托管 之 后 ， 在 同 网 络 宣布 这 笔 交 
易 之 前 ， 她 会 从 鲍 动 那里 要 求 这 个 退 款 交易 。 这 样 ， 如 采 过 了 t 时 间 鲍 
盈 还 没有 在 最 后 一 个 交易 上 签名 的 话 ， 她 可 以 通过 这 个 退 款 交 易 收回 
所 有 的 比特 币 。 


退 款 交 易 被 锁定 { 时 间 是 什么 意思 呢 ? 还 记得 我 们 在 第 3 章 3.2 玫 提 
到 元 数据 的 时 候 ， 有 一 个 参数 是 ”lock _time”， 当 时 我 们 还 没有 解释 。 
在 此 参数 后 面 填 上 非 零 数值 t, 这 个 值 告诉 矿工 在 记 账 的 时 候 ， 要 等 符 { 
时 间 之 后 才能 把 这 笔 交 易 记 入 区 块 链 。 这 个 交易 在 放 入 区 块 后 ， 经 过 
确定 的 区 块 数 或 者 时 间 才 生效 。 通 过 这 个 方式 ， 人 们 可 以 发 起 一 笔 未 
来 交易 ， 当 然 ， 只 有 资金 在 未 来 时 间 点 之 前 未 被 伦 费 挤 ， 这 笔 示 来 交 
易 才 会 被 执行 。 这 在 小 额 文 付 的 例子 里 非常 有 效 ， 它 是 爱丽 丝 的 定 心 
丸 ， 能 够 确保 在 鲍 邯 最 后 没有 签字 的 情况 下 她 能 拿 回 目 己 的 比特 币 。 


通过 上 面 的 例子 ， 我 们 展示 了 比特 币 脚本 可 以 轻易 实现 很 多 切 
能 。 我 们 虽然 只 讨论 了 三 个 例子 ， 但 其 实 人 们 研究 过 许多 其 他 的 功 
能 。 比 如 多 人 彩票 系统 ， 这 个 系统 涉及 一 些 十 分 复杂 的 多 步 操作 协 
议 ， 以 及 不 同 的 锁定 时 间 和 第 三 方 托管 账户 ， 来 防止 玩家 作弊 。 还 可 
以 通过 脚本 语言 实现 多 人 混 币 ， 使 得 比特 币 更 难 被 追踪 。 我 们 会 在 第 6 
章 展开 讨论 。 


智能 合约 


所 谓 智能 合约 (smart contracts) ， 就 是 那些 不 同 于 需要 通过 法 
律 或 者 仲裁 机 构 来 保护 执行 的 普通 合约 ， 智 能 合约 是 比特 币 系 统 里 可 
以 用 技术 手段 来 强制 执行 的 合约 ， 我 们 已 经 看 到 ， 比 特 币 有 非常 好 的 


等 ee 过 中 心 化 权威 
机 格 


智能 合约 的 研究 目前 已 经 非常 深入 ， 能 够 实现 非常 多 很 复杂 的 功 
能 ， 但 比特 币 脚本 语言 的 设计 也 有 很 多 缺陷 ， 还 是 有 很 多 现实 需要 的 
智能 合约 无 法 用 比特 币 的 工作 控制 语言 来 实现 [ 寺 。 不 过 这 里 我 们 就 
不 一 一 细 谈 了 。 


[1] 但 已 经 有 很 多 有 意义 的 探索 ， 比 如 以 太 坊 等 实现 了 图 灵 完 备 的 智能 合约 。 一 一 译 者 注 


3.4 比特 币 的 区 块 


现在 ， 我 们 已 经 了 解 了 单个 交易 是 如 何 创建 的 ， 但 是 在 第 2 章 里 提 
到 ， 所 有 交易 部 十 被 打包 放 入 区 块 的， 为 什么 要 这 么 做 呢 ? 其 实 这 厦 
为 了 性 能 优化 ， 如 采 每 一 个 交易 部 要 矿工 单独 去 达成 共识 ， 那 整个 系 
统 的 交易 处 理 速度 将 会 变 得 非常 慢 。 而 如 果 我 们 把 大 量 交 易 组 织 起 来 
放 入 一 个 区 块 ， 得 到 的 哈 希 链 就 更 短 ， 大 大 提高 了 验证 区 块 链 数 据 结 
构 的 效率 。 


区 块 链 ( 块 链 ) 非常 聪明 地 把 两 个 基于 哈 希 值 的 数据 结构 结合 起 
来 : 第 一 个 数据 结构 是 区 块 的 哈 希 链 ， 每 一 个 区 块 都 有 一 个 区 块头 
部 ， 里 面 有 一 个 哈 希 指针 指向 上 一 个 区 块 。 第 二 个 数据 结构 是 一 个 树 
状 数据 结构 ， 也 就 是 以 树 状 结构 把 区 块 内 所 有 交易 的 哈 希 值 进 行 排列 
存储 。 也 叫 梅 克 尔 树 (请 参考 第 1 章 ) ， 它 以 一 种 非常 高 效 的 形式 把 所 
有 交易 组 织 起 来 。 为 了 证 明 某 个 交易 在 某 个 区 块 内 ， 可 以 通过 树 内 路 
径 来 进行 搜索 ， 而 树 的 长 度 就 是 区 块 内 所 包含 的 交易 数目 的 对 数 〈 见 
图 3.7) 。 


我 们 在 第 2 章 中 提 到 过 (在 第 5 章 还 将 继续 涉及 ) ， 区 块头 部 还 包 
含 了 控 矿 谜 题 [ 直 相 关 的 信息 。 还 记得 ， 区 块头 部 的 哈 希 函数 必须 以 一 
大 堆 零 开头 才 有 效 ， 此 外 ， 区 块头 部 还 要 包含 一 个 矿工 可 以 修改 的 “ 临 
时 随机 数 ”、 一 个 时 间 稚 和 一 个 点 数 (点 数 用 来 表示 找到 这 个 区 块 的 难 
度 ) 。 区 块头 部 是 挖 矿 过 程 中 唯一 哈 希 值 化 的 ， 所 以 要 验证 一 个 区 块 
的 链 ， 只 要 检查 区 块头 部 即 可 。 在 区 块头 部 唯一 的 交易 数据 是 交易 树 
的 树 根 


“mrkl] root”。 


区 块 的 哈 希 链 
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Be Oe ee ee ee ee gg go oo ee ee Uo 


每 个 区 块 中 各 笔 交 易 的 哈 希 树 ( 梅 元 尔 树 ) 


图 3.7 比特 币 的 区 块 链 有 两 个 哈 希 结构 
注 : 一 个 就 是 把 区 块 联结 在 一 起 的 哈 希 链 ， 另 一 个 就 是 区 块 内 部 的 交易 哈 希 值 梅 克 尔 树 。 


每 个 区 块 的 梅 元 尔 树 上 都 有 一 个 有 意思 的 交易 ， 叫 作 币 基 区 易 
( 见 图 3.8) 。 这 就 类 似 于 财 奴 币 里 的 造 币 交易 。 这 个 交易 创造 新 的 比 
特 币 ， 它 看 上 去 像 征 一 个 普通 的 交易 ， 但 有 儿 点 不 同 : 


Si 
{ 

"prev_out":{ 
"hash":“6686060..... 68866660"， 
"Nn":4294967295 

}, 

“CEOinbpase ss” ,oo 

)}， 

[ 
"ou 七 ":[ 
并 


"value":"25.603371419"， 
"scriptPubKey":"OPDUP OPHASH168 ... ” 


内 
兴 
NI 


图 3.8 币 
注 : 币 基 交易 创造 新 的 比特 币 ， 这 个 交易 并 不 消费 之 前 交易 输出 的 比特 币 ， 因 此 ， 没 有 指针 指 
易 ”。 币 基 交 易 的 参数 可 以 是 任意 数据 。 币 基 交 易 的 价值 等 于 区 块 奖励 加 上 区 块 中 包 


1. 它 永远 只 有 一 个 单一 的 输入 与 单一 的 输出 。 


2. 这 个 交易 并 不 消费 之 前 交易 输出 的 比特 币 ， 因 此 ， 没 有 指针 指 
向 "上 一 交易 " 。 


3. 这 个 输出 值 目前 大 约 是 25 个 币 多 一 点 点 。 这 个 输出 值 就 是 矿工 的 
控 矿 收入 。 它 由 两 部 分 组 成 :一 部 分 是 奖励 的 25 个 比特 币 (奖励 在 每 
生产 210 000 个 区 块 一 一 大 概 4 年 一 一 后 减 半 ) ， 男 一 部 分 是 所 有 交易 的 
交易 手续 费 。 


4. 还 有 一 个 特别 的 地 方 束 是 “ 币 基 ”* 参 数 ， 矿 工 可 以 放任 何 值 进 去 。 


这 里 值得 一 提 的 是 ， 当 比特 币 的 第 一 个 区 块 被 铸造 出 来 的 时 候 ， 
该 区 块 的 币 基 参 数 提 及 了 伦敦 《泰晤士 时 报 》 的 一 则 报道 : 2009 年 1 月 
3 日 ， 财 政大 臣 拯 救 银 行 。 这 被 看 成 比特 币 发 明 的 政治 动机 ， 同 时 也 很 
好 地 证 明了 第 一 个 区 块 的 打包 时 间 是 在 2009 年 1 月 3 日 ， 上 壕 报 道 出 来 
之 后 。 这 也 是 矿工 使 用 “ 币 基 * 参 数 来 支持 很 多 比特 币 的 不 同 特性 。 


想 更 好 了 解 比特 币 的 区 块 和 交易 结构 ， 最 好 的 办 法 是 目 己 浏览 区 
块 链 的 数据 ， 有 很 多 网 站 提供 数据 ， 比 如 blockchain.info， 在 该 网 站 上 
可 以 看 到 所 有 交易 ， 以 及 每 笔 交 易 所 引用 的 上 一 笔 交 易 。 由 于 比特 币 
的 数据 都 是 公开 的 ， 一 些 程序 员 已 经 开发 出 了 全 图 形 化 的 展现 方式 。 


[1] 也 就 是 觉 争 记 账 权利 问题 。 一 一 译 者 注 


3.5 比特 币 网 络 


到 这 里 ， 我 们 已 经 讨论 了 参与 者 可 以 发 布 交 易 ， 并 将 交易 纳入 区 
块 链 ， 这 一 切 似乎 很 神奇 。 事 实 上 ， 上 述 整 个 过 程 都 是 通过 比特 币 网 
络 完成 的 。 比 特 币 网 络 是 一 个 点 对 点 的 网 络 ， 褒 用 了 很 多 已 有 的 点 对 
扩 网 络 的 理念 。 在 比特 币 网 络 里 ， 所 有 的 太 扣 都 是 平等 的 。 没 有 等 
级 ， 也 没有 特殊 的 下 点 ， 或 所 谓 的 主 节 点。 它 运 行 在 TCP 网 络 上 ， 有 一 
个 随意 的 拓扑 结构 ， 每 个 节点 和 其 他 的 随机 市 点 相连 。 新 的 方 点 也 可 
以 随时 加 入 。 可 以 试 着 现在 束 下 载 比 特 币 市 点 软件 ， 把 你 的 个 人 电脑 
注册 为 一 个 记 操 ， 这 个 市 态 的 权限 和 比特 币 网 络 里 所 有 其 他 市 点 都 是 
一 样 的 。 


由 于 随时 有 新 的 节点 进入 ， 也 有 旧 的 节点 离开 ， 所 以 比特 币 网 络 
事实 上 一 直 在 变化 。 并 没有 强制 的 规定 市 点 何 时 明确 地 离开 网 络 ， 只 
要 一 个 万 点 有 3 个 小 时 没有 音讯 ， 束 会 慢 慢 地 被 其 他 和 点 未 记 。 通 过 这 
个 方式 ， 网 络 非常 缓和 地 处 理 节 点 下 线 问 题 。 


上 文 提 到， 每 个 节点 和 其 他 随机 节点 相连 ， 网 络 中 并 不 存在 一 个 
确定 的 地 理学 意义 上 的 拓扑 结构 。 那 么 一 个 节点 是 如 何 加 入 网 络 的 
呢 ? 当 你 局 动 一 个 新 节点 的 时 候 ， 先 同一 个 你 知道 的 市 扣发 送 一 个 信 
单 的 消 明 。 这 个 市 点 束 古 你 的 种 子 市 态 ， 当 然 ， 有 多 种 不 同 的 方法 可 
以 查找 种 子 市 感 。 然 后 你 束 会 问 你 的 种 子 市 点 古 不 是 还 知道 其 他 什么 
斑点 ? 在 链接 到 一 个 新 的 市 点 后 ， 你 可 以 重复 这 个 过 程 许多 次 ， 最 后 
你 可 以 选择 和 哪些 市 点 相连 ， 这 时 ， 你 束 成 为 比特 币 网 络 里 一 个 完全 
合格 的 斑点 了 。 这 些 步 又 里 有 很 多 随机 性 ， 理 想 的 情况 束 古 你 能 和 一 
些 随机 组 的 节点 相连 。 为 了 加 入 网 络 成 为 网 络 节 点 ， 你 只 需 知道 一 开 
始 怎 么 和 其 中 一 个 节操 链接 就行 了 。 


那加 入 网 络 到 撒 有 什么 好 处 ? 当然 是 为 了 维护 区 块 链 。 当 我 们 发 
起 一 个 交易 的 时 候 ， 我 们 想 让 整个 网 络 都 知道 。 这 是 通过 一 个 “ 泛 
洪 ” (flooding) 的 算法 完成 的 | 有 时 候 我 们 称 之 为 “< 八卦”(gossip) 协 
议 | 。 如 果 爱 丽 丝 要 转账 给 鲍 勃 ， 她 的 客户 端 发 起 一 个 交易 ， 然 后 把 
这 笔 交 易 告 知 所 有 和 她 的 客户 问世 点 相 和 链接 的 其 他 和 点， 这 些 和 点 会 
进行 一 系列 核验 ， 决 定 是否 接 受 并 转播 这 笔 交 易 。 如 果 核验 通过 ， 这 
些 节 点 会 将 这 笔 交 易 信 息 传 播 给 与 其 相连 的 其 他 和 点 。 当 万 点 接收 到 
一 个 交易 信息 后 ， 会 把 交易 放 入 一 个 交易 池 ， 但 需要 注意 的 是 ， 交 易 
池 里 的 交易 还 没有 被 打包 进 区 块 链 。 如 果蔬 点 接收 到 的 交易 在 交易 池 
里 已 经 存在 ， 就 不 会 再 次 把 它 传 播 出 去 。 这 样 ， 束 确 你 了 泛 洪 协议 会 
自动 终结 ， 而 不 是 让 一 个 交易 在 网 络 一 再 被 传播 永 不 停止 。 由 于 每 个 
交易 都 有 一 个 独一无二 的 哈 硕 值 ， 所 以 节点 可 以 非常 方便 地 得 询 某 个 
交易 是 否 在 目 己 的 交易 池 里 。 


节 太 接收 到 一 个 新 交易 信息 时 ， 如 何 核 验 呢 ? 这 里 有 四 个 关卡 : 
第 一 个 也 是 最 重要 的 一 个 是 交易 验证 ， 也 就 是 验证 交易 在 当前 的 区 块 
i tn ed 
脚本 的 返回 值 都 为 真 ， 第 二 ， 检 查 是 否 有 双重 支付 ; ， 如 前 文 所 
述 ， 市 把 会 检查 这 笔 交 易 信息 十 不 古 已 经 被 本 节点 接收 过 ， 第 四 ， 忆 
点 只 会 接收 和 传递 在 日 名 单 上 的 标准 脚本 。 


上 述 所 有 检查 都 是 合理 检查 ， 所 有 节点 很 好 地 执行 这 些 检查 能 够 
使 网 络 健康 、 稳 定 地 运行 ， 但 实际 上 并 没有 规则 强制 节点 执行 这 些 检 
得。 虽然 如 此 ， 每 个 节点 还 是 有 必要 进行 检查 的 一 一 因为 比特 币 网 络 
征 一 个 点 对 点 的 对 等 网 络 ， 任 何人 都 可 以 随时 加 入 ， 总 有 一 些 世 避 会 
发 出 双重 文 付 ， 或 者 非 标 准 脚本 的 交易 ， 甚 至 彻底 丈 是 非法 交易 。 


由 于 网 络 传递 有 延迟 ， 不 同 的 节点 可 能 会 有 不 同 的 交易 池 。 当 有 
双重 支付 攻击 的 时 候 ， 这 个 现象 会 变 得 十 分 有 意思 。 假 设 爱 丽 丝 想 把 
同一 个 比特 币 文 付 给 鲍 动 与 查理 ， 于 是 ， 爱 丽 丝 儿 乎 同时 发 出 两 笔 交 
易 。 有 些 市 点 和 完 听 到 爱丽 丝 - 鲍 劫 交易， 有些 则 先 听 到 爱丽 丝 - 查理 


交易 。 当 一 个 厅 扩 接收 到 了 这 两 个 交易 当中 任何 一 个 ， 它 吏 会 把 氨 收 
到 的 交易 放 入 交易 池 中 ， 之 后 ， 它 听 到 了 田 一 个 交易 ， 看 上 去 像 是 双 
重文 付 交 易 ， 这 个 节操 束 会 把 它 丢 弃 挥 不 再 向 外 传播 。 结 琳 束 是 众多 
的 节点 会 对 “ 哪 一 个 交易 应 该 被 纳入 区 块 链 ”产生 分 卜 。 这 种 情况 被 称 大 


音 态 条 件 [1] (race condition) 。 


好 在 对 于 比特 币 来 说 ， 这 完全 不 是 问题 : 打包 下 一 个 区 块 的 矿工 
会 打破 这 个 僵局 ， 他 会 决定 哪个 交易 会 最 终 打包 进 这 个 区 块 。 如 采 爱 
丽 丝 一 鲍 动 的 交易 进入 区 块 ， 那 些 听 到 爱丽 丝 - 查 理 的 市 点 会 把 爱丽 
丝 一 查理 的 交易 从 交易 池 里 吻 除 ， 因 为 那 古 一 个 双重 文 付 ， 而 那些 听 
到 爱丽 丝 ~ 鲍 劲 的 斑点 也 会 把 这 个 交易 噜 除 出 去 ， 因 为 这 笔 区 易 已 经 
家 纳入 区 块 链 。 因 此 ， 一 旦 这 个 区 块 被 传播 以 后 ， 束 不 再 有 前 面 说 的 
分 歧 了 。 


由 于 每 个 节点 默认 保留 最 早 接 收 到 的 交易 ， 所 以 节点 在 网 络 上 的 
位 置 束 很 重要 。 如 果 两 个 矛盾 的 交易 或 区 块 在 网 络 上 两 个 不 同 地 方 被 
发 起 ， 它 们 会 同时 癌 整 个 网 络 广播 ， 市 扩 先 接收 到 哪个 交易 取决 于 它 
在 网 络 的 位 置 。 


当然 ， 这 基于 一 个 假设 : 不 管 接 收 到 什么 信息 ， 每 个 万 点 均 保 留 
最 早 接收 到 的 交易 。 但 是 比特 币 网 络 是 一 个 对 等 的 网 络 ， 节 点 并 不 被 
强制 要 求 这 么 做 ， 任 何 市 点 部 有 权 按 照 其 他 逻辑 行事 ， 并 按照 所 选 的 
逻辑 决定 到 确保 留 哪个 交易 、 转 播 哪 些 交 易 ， 我 们 会 在 第 5 章 的 矿工 奖 
励 部 分 讨论 这 个 问题 。 


语 二 > 


地 难 证 交易 和 费用 百代 全 略 (replace-by- 


全 


fee) 


在 第 2 章 我 们 讨论 了 零 验 证 交易 ， 即 一 旦 交易 在 网 络 中 广播 ， 
接收 方 束 立 即 接受 交易 。 零 验证 交易 不 是 用 来 防止 重复 文 付 的 ， 但 
由 于 矿工 的 缺 省 行为 是 把 移 搂 收 到 的 交易 放 入 交易 池 ， 这 样 ， 在 零 
验证 交易 里 束 很 难 实 现 重复 文 付 ， 同 时 ， 由 于 零 验 证 交易 非常 方 
便 ， 因 此 变 得 越 来 越 普 及 。 

目 从 2013 年 ， 矿 工 的 缺 省 行为 变 成 了 “费用 车 代 策 略 ”, 即 市 抬 
在 过 到 有 冲突 的 交易 时 ， 会 把 交易 手续 费 更 高 的 交易 放 进 目 己 的 交 
易 池 ， 把 手续 费 更 低 的 替换 出 去 。 站 在 矿工 的 角度 ， 由 于 收益 更 
高 ， 因 此 也 是 理性 的 选择 一 一 至 少 在 短期 看 是 这 样 。 但 是 这 种 费用 
替代 策略 却 使 多 重文 付 攻击 变 得 更 容易 了 。 


因此 ， 费 用 车 代 策 略 受 到 了 不 少 争 议 ， 这 些 争 议 一 方面 从 技术 
层面 讨论 在 费用 替代 策略 中 是 否 可 以 真正 阻止 多 重文 付 ， 男 一 方面 
从 斩 学 层面 讨论 比特 币 是 不 是 应 该 要 尽 可 能 文 持 零 验证 ， 或 直接 放 
弃 费 用 替代 宽 略 。 我 们 这 里 就 不 再 芍 述 这 些 讨 论 了 很 久 的 争议 了 ， 
但 最 近 比特 币 核心 代码 倒 选 用 了 “有 选择 权 的 ”(\opt-in) 费用 替代 策 


略 的 做 法 ， 也 就 是 交易 可 以 标记 上 自己 是 否 适 用 费用 替代 策略 。 


上 面 说 的 是 交易 的 传播 。 至 于 区 块 的 传播 ， 即 矿工 控 到 一 个 矿 
(打包 一 个 区 块 ) ， 然 后 将 区 块 加 入 区 块 链 ， 这 个 过 程 与 新 交易 的 传 
播 过 程 类 似 ， 也 受 同 样 竞 态 条 件 的 限制 。 如 采 两 个 有 效 的 区 块 同时 被 
挖 到 (也 就 是 有 两 个 矿工 同时 获得 了 记 账 权力 时 ) ， 只 有 其 中 一 个 区 
块 可 以 进入 长 期 共识 链 ， 哪个 区 块 被 最 终 纳入 长 期 共识 链 取 决 于 其 他 
万 避 选 择 在 哪个 区 块 上 扩展 区 块 链 ， 未 被 纳入 的 一 个 即 被 丢弃 。 


核验 一 个 区 块 要 比 核验 一 个 交易 复杂 得 多 。 除 了 确认 区 块头 部 ， 
确定 里 面 的 哈 希 值 是 在 可 以 接受 的 范围 内 ， 克 点 还 必须 确认 区 块 里 的 
每 个 交易 。 最 后 ， 一 个 市 尽 往 外 传播 的 区 块 必须 是 最 长 的 一 条 区 块 链 
上 新 加 入 的 区 块 (当然 ,“ 最 长 的 区 块 链 ”取决 于 节点 对 区 块 链 当 前 状态 
的 认识 ) 。 只 有 这 样 才 可 以 防止 区 块 链 分 又 。 但 就 像 传播 交易 时 一 


样 ， 克 点 同样 可 以 执行 它 目 己 的 逻辑 : 它 可 以 选择 传递 无 效 的 区 块 ， 
也 可 以 选择 传递 在 共识 链 上 更 早 加 入 的 区 块 而 不 是 最 靳 加 入 的 区 块 。 
这 样 吏 会 造成 一 个 分 又 ， 不 过 这 种 情况 是 协议 可 以 承受 的 。 


泛 洪 算法 (flooding algorithm) 的 延迟 情况 到 底 怎样 呢 ? 我 们 一 
起 看 一 下 图 3.9， 这 张 图 展示 了 区 块 被 网 络 中 不 同 数 量 的 节点 接收 所 花 
费 的 时 间 ( 秒 ) 。 三 条 线 分 别 代 表 区 块 被 网 络 中 25%、50%、75% 的 节 
点 接收 到 所 需要 的 时 间 。 可 以 看 到 ， 由 于 网 络 带宽 的 限制 ， 比 较 大 的 
区 块 需要 30 秒 左右 才能 传播 到 大 部 分 的 节点 。 所 以 这 个 协议 不 是 很 有 
效率 。 在 互联 网 上 30 秒 是 比较 长 的 时 间 了 ， 在 比特 币 的 设计 里 ， 简 便 
是 第 一 位 的 〈 简 单 的 网 络 、 节 点 可 随时 加 入 或 退出 ) ， 而 效率 是 第 二 
位 的 ， 所 以 在 比特 币 网 络 里 ， 一 个 区 块 可 能 需要 经 过 很 多 节点 才 到 达 
最 远 的 节点 。 如 果 网 络 采取 自 上 而 下 的 设计 ， 那 我 们 就 需要 使 任何 两 
个 节点 的 距离 都 很 短 。 


网 络 大 小 


比特 币 网 络 大 小 很 难 测量 ， 因 为 它 随时 都 在 变化 ， 而 且 没 有 一 个 
中 央 权 威 机 构 。 有 些 人 通过 研究 给 了 一 些 估计 : 往 高 说 ， 每 个 月 可 能 
有 100 万 个 IP 地 址 成 为 比特 币 网 络 的 节操 〈 也 可 能 是 临时 成 为 节点 ) 。 
往 低 说 ， 大 约 只 有 5 000~10 000 厄 点 永远 在 线 并 人 处理 交易 。 这 个 数 子 有 
扩 出 乎 意料 得 小 ， 但 古 截至 本 书 完 成 时 ， 并 没有 证 据 表明 永远 在 线 的 
节点 数量 在 升 高 或 降低 。 
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图 3.9 区 块 传播 时 间 

注 : 展示 了 区 块 被 网 络 中 不 同 数 量 (百分比 ) 的 节点 接受 所 花费 的 时 间 。 

资料 来 源 : Yonatan Sompolinsky 和 Aviv Zohar, 加 快 比特 币 交 易 的 传播 速度 (Accelerating Bitcoin's 
Transaction Processing,2014)。 可 从 下 述 网 址 获得 https:/eprint.iacr.org/2013/881。 数 据 由 Yonatan 
Sompolinsky 和 Aviv Zohar 授 权 使 用 


存储 空间 需求 


完全 有 效 的 节点 必须 永久 在 线 ， 这 样 才能 接收 到 所 有 的 交易 数 
J ed ee 束 需 要 越 
多 时 间 来 更 新 所 有 交易 。 扩 还 需要 把 完整 的 共识 区 块 链 都 存储 
下 来 ， 也 需要 有 好 的 网 络 . 0 其 转播 


给 其 他 万 点。 目前 的 存储 空间 大 约 要 几 十 个 GB ( 见 图 3.10) ， 一 台 人 台 
式 机 整 能 满足 要 求 。 


最 后 ， 完 全 有 效 节 点 必须 维护 在 交易 中 产生 的 (交易 的 输出 ) 、 
未 被 消费 挥 的 比特 币 的 完整 列表 ， 这 个 列表 最 好 放 在 内 存 而 非 硬 盘 
里 ， 这 样 ， 在 接收 到 一 个 交易 信息 的 时 候 ， 节 点 才能 快速 查看 、 运 行 
脚本 ， 验 证 签名 是 否 有 效 ， 然 后 把 交易 放 入 交易 池 。 到 2014 年 年 中 ， 
大 约 有 4 400 万 的 交易 被 纳入 区 块 链 ， 其 中 有 1 200 万 个 交易 产生 的 比特 
币 没 有 被 使 用 。 还 好 ， 这 个 数据 不 大 ， 可 以 很 容易 地 放 进 1G 内 存 里 。 
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图 3.10 区 块 链 的 大 小 
注 : 全 节点 必须 保持 整个 区 块 链 ， 在 2015 年 年 底 ， 区 块 链 大 小 在 50GB 以 上 。 


店 


轻 量 六 点 


除了 完全 有 效 太 点 之 外 ， 还 有 一 种 轻 量 方 点 (nightweight nodes)， 
或 者 称 为 轻 客户 端 ， 也 叫 简单 付款 验证 (Simple Payment 
Verification， 人 简称 SPV) 客户 端 。 事 实 上 ， 在 比特 币 系 统 里 的 大 部 分 节 
点 都 是 轻 量 节点 。 这 些 节 点 不 会 存储 整个 比特 币 区 块 链 ， 它 们 只 存储 


它们 所 关心 的 、 需 要 进行 核验 的 部 分 交易 。 如 果 你 使 用 一 个 钱包 软 
件 ， 那 里 面 就 会 有 一 个 SPV 市 点 ， 这 个 市 点 只 会 下 载 同 你 的 账户 付 球 的 
交易 及 区 块头 部 。 


一 个 SPV 节 点 的 安全 等 级 远 不 如 全 世 点 。 它 可 以 核验 那些 很 难 被 控 
到 的 区 块 一 一 因为 它 有 区 块头 部 数据 ， 但 它 不 能 核验 一 个 区 块 里 所 有 
交易 记 杂 的 有 效 性 一 一 因为 它 没 有 所 有 的 交易 历 史记 录 ， 也 没有 那些 
未 被 消费 的 比特 币 的 列表 。SPV 厄 点 只 验证 那些 和 它们 相关 的 交易 ， 所 
以 它们 必须 依赖 那些 全 节点 去 验证 网 络 上 的 其 他 所 有 交易 。 这 虽然 是 
一 种 安全 性 上 的 妥协 ， 却 不 是 个 坏 主意 : 轻 量 市 点 依赖 全 市 点 去 处 理 
那些 比较 难 的 工作 ， 但 当 茶 个 区 块 由 于 某 些 原因 来 被 矿工 挖 出 来 时 
( 控 矿 成 本 巨大 ) ， 这 些 轻 量 节点 也 会 做 一 些 核验 来 确保 这 个 区 块 不 
会 被 拒绝 。 


作为 一 个 SPV 市 点 可 以 市 省 很 多 资源 。 区 块 尖 部 的 大 小 只 是 整个 区 
块 链 的 二 分 之 一 。 所 以 轻 量 方 点 不 需要 几 十 G 的 存储 空间 ， 只 需要 几 十 
MB 即 可 ， 即 使 一 部 智能 手机 也 能 成 为 比特 币 网 络 的 轻 量 方 感 。 


比特 币 是 一 个 开源 协议 ， 比 特 币 网 络 一 定 是 由 实现 方式 各 不 相同 
的 软件 系统 在 无 颖 交互 。 这 样 ， 即 使 有 些 软件 系统 有 人 缺陷， 也 不 至 于 
使 整个 比特 币 网 络 瘫 疝 。 比 较 好 的 现象 是 ， 人 们 用 不 同 的 语言 不 断 地 
重新 实现 协议 ， 有 些 人 用 C++、 有 些 人 用 Go 语言 ， 还 有 不 少 人 用 其 他 
语言 。 不 好 的 现象 是 ， 绝 大 部 分 的 节点 都 会 调用 比特 币 官方 客户 端的 
资源 库 (bitcoind library) ， 这 个 库 是 比特 币 核 心 代码 开发 者 们 用 
C++ 开发 的 库 ， 而 且 有 些 世 点 用 的 是 过 时 的 版 本 。 所 以 ， 即 使 在 同一 时 
间 ， 大 家 运行 的 客户 端 都 略 有 不 同 。 


[1] 竞 态 条 件 也 可 理解 为 紊乱 情况 。 一 一 译 者 注 


3.6 限制 与 优化 


最 后 我 们 要 谈 一 下 比特 币 协 议 的 一 些 内 在 限制 ， 以 及 优化 的 难 
度 。 在 比特 币 2009 年 刚 问 世 的 时 候 ， 它 的 协议 有 许多 内 在 的 人 硬性 限 
制 ， 那 征 因 为 在 那 时 没有 人 会 想到 它 会 发 展 成 一 个 重要 的 国际 货币 。 
比如 每 个 区 块 的 平均 时 间 、 块 的 大 小 、 每 个 区 块 的 签名 数目 、 切 分 
性 、 比 特 币 总 量 、 区 块 奖励 结构 等 。 


比特 币 的 总 体 数 量 与 记 账 奖励 很 可 能 永远 都 不 会 改变 ， 因 为 那样 
经 济 影响 太 大 。 矿 工 与 投资 人 都 在 比特 币 现 有 的 框架 内 投入 巨 资 ， 如 
果 这 个 框架 改变 了 ， 会 对 他 们 产生 巨大 冲击 。 所 以 ， 社 区 基本 达成 共 
识 ， 不管 这 些 特性 好 或 不 好 ， 都 不 应 该 改变 。 


但 其 他 一 些 方面 的 改善 可 以 让 所 有 人 受 区 一 一 因为 一 些 初 始 设计 
事后 来 看 确实 不 太 合理 。 其 中 最 主要 的 是 比特 币 系 统 的 交易 处 理 能 
力 。 每 秒 钟 比特 币 网 络 到 底 可 以 处 理 多 少 交 易 ? 这 个 硬 伤 来 自 对 区 块 
大 小 的 硬性 规定 ， 每 个 区 块 大 小 限定 在 1MB， 每 个 交易 大 约 是 250 字 
玉 ， 所 以 每 块 最 多 容纳 4 000 个 交易 。 平 均 每 阳 10 分 钟 ， 有 一 个 矿工 获 
得 记 账 权利 ， 所 以 每 秒 钟 只 能 处 理 7 个 交易 ， 这 就 是 比特 币 网 络 的 交易 
处 理 能 力 ! 似乎 改 掉 这 些 限制 只 是 需要 改 挥 源 代码 的 某 些 第 数 这 么 入 
单 ， 实 际 上 却 并 不 容易 ， 后 面 我 们 会 简单 分 析 一 下 原因 。 


比特 币 的 交易 处 理 能 力 到 底 属于 什么 水 平 ? 和 前 主流 的 一 些 信用 
卡 公司 相 比 ， 比 特 币 这 个 处 理 能 力 实在 太 低 了 。 我 们 可 以 做 一 下 比 
较 : 维 辽 (Visa) 平均 每 秒 处 理 2 000 笔 交易 ， 上 峰值 每 秒 处 理 10 000 笔 
交易 。 贝 宝 (PayPal) 的 交易 处 理 能 力 比 维 萨 弱 ， 但 峰值 时 每 秒 也 能 
处 理 100 笔 交易 。 比 特 币 无 法 处 理 这 种 量 级 的 交易 。 


另 一 个 限制 是 比特 币 用 的 密码 算法 。 现 在 只 有 几 个 哈 硕 函数 算法 
和 一 个 签名 算法 可 以 使 用 。 比 特 币 使 用 的 签名 算法 是 ESDSA 一 一 一 种 
secp256k1 的 椭圆 曲线 数字 签名 算法 〈 见 第 1 章 ) ， 大 家 担心 在 比特 币 
的 一 生 (大 家 都 希望 是 很 长 的 一 生 ) 中 ， 这 个 算法 可 能 会 被 攻破 。 哈 
名 琅 数 也 有 同样 的 问题 ， 比 特 币 使 用 的 SHA-1 也 有 弱点 ， 进 10 年 来 ， 
对 SHA-1 的 分 析 也 逐步 取得 了 一 些 进展 (尽管 并 不 致命 ) 。 为 了 改变 
这 些 问 题 ， 我 们 不 得 不 加 强 比 特 币 的 脚本 语言 来 支持 新 的 密码 算法 。 


修订 协议 


那 我 们 到 底 怎 样 才能 修订 比特 币 协 议 并 引入 一 些 新 特性 呢 ? 你 也 
许 认 为 这 很 浴 单 ， 只 要 发 布 一 个 新 有 版本， 然后 更 新 所 有 的 节点 。 但 事 
实 上 非常 复杂 ， 实 际 中 ， 我 们 根本 无 法 假定 所 有 的 节点 都 会 更 新 版 
本 。 网 络 里 的 某 些 节点 会 无 法 获取 新 版 本 ， 或 无 法 及 时 获取 新 版 本 。 
绝 大 多 数 市 点 更 新 了 协议 、 部 分 市 把 没 有 更 新 的 后 来 是 否 闫 重 ， 取 决 
于 协议 更 新 的 内 容 。 按 照 产 生 的 结果 ， 协 议 修订 可 以 分 为 两 种 类 型 : 
一 种 会 井 成 而 分 义 ， 男 一 种 会 千 成 软 分 义 。 


硬 分 又 


通过 修订 协议 引入 新 的 特性 ， 可 能 会 使 前 一 版 本 的 协议 失效 。 有 即 
运行 新 版 协议 的 节操 认定 为 有 效 的 区 块 ， 会 被 运行 旧版 协议 的 市 后 认 
定 为 无 效 。 而 由 于 我 们 不 能 确保 每 个 节点 都 会 更 新 协议 ， 我 们 只 能 假 
定 大 部 分 节点 已 经 升级 (新 节点 ) ， 但 还 有 部 分 节点 没有 升级 ( 老 市 
点 ) ， 很 快 ， 最 长 的 那个 区 块 链 分 文 里 包含 的 某 些 区 块 会 被 老 世 点 认 
定 为 无 效 区 块 ， 因 此 ， 老 节点 会 认为 其 他 的 分 支 (在 这 个 分 支 中 ， 所 
有 新 节点 认为 有 效 的 区 块 都 会 被 排除 在 外 ) 才 有 是 最 长 、 有 效 的 区 块 链 
分 文 ， 并 一 直 扩展 这 个 分 文 ， 直 到 它们 更 新 了 版 本 。 


这 种 改变 称 为 硬 分 义 ， 它 使 得 原先 的 链 分 铁 了 。 网 络 上 的 所 有 市 
扩 会 根据 其 所 运行 的 协议 版 本 去 扩展 两 条 不 同 的 区 块 链 ， 当 然 ， 这 两 
个 分 又 再 也 不 会 合并 。 那 些 老 节点 只 要 不 更 痢 版 本 ， 融 被 永远 地 排除 
在 了 另 一 条 链 之 外 ， 这 有 是 比特 币 社区 所 不 能 接受 的 。 


软 分 又 


另 一 种 修订 是 加 入 新 的 特性 ， 让 现 有 的 核验 规则 更 加 严格 。 那 样 
老 的 节点 依然 会 接收 所 有 的 区 块 ， 而 新 的 节点 会 拒绝 一 些 。 这 样 的 改 
变 叫 作 *“ 软 分 又 ?”。 这 可 以 避免 醒 分 又 所 造成 的 永久 分 裂 。 


我 们 如 有 宁 引 入 可 以 产生 软 分 又 的 新 版 协议 ， 会 有 什么 后 果 呢 ? 运 
行 新 版 协议 的 节点 会 使 用 一 些 更 严格 的 规划， 现在， 假定 绝 大 部 分 市 
点 都 更 新 了 新 版 协议 并 执行 新 的 规则 〈 这 是 产生 软 分 又 的 关键 ， 因 为 
老 市 后 不 会 执行 新 规划， 新 节点 的 数量 要 足够 多 才能 够 欧 争 最 长 的 
链 ) 。 这 种 情况 下 ， 老 节点 可 能 会 控 到 一 些 无 效 的 区 块 一 一 因为 这 些 
区 块 中 包含 一 些 在 新 规则 下 无 法 核验 通过 的 交易 ， 然 后 ， 老 节点 会 知 
道 它 们 核验 有 效 的 区 块 不 被 别 的 节点 接受 (即使 它们 并 不 知道 原 
因 ) ， 这 使 得 老 节 点 的 矿工 会 去 更 新 协议 。 而 且 ， 如 果 新 节点 用 它们 
的 区 块 扩展 了 老 市 点 的 分 文 ， 那么 ， 老 市 点 也 会 转 而 扩展 这 个 分 文 ， 
原因 是 新 节点 核验 通过 的 区 块 ， 老 节点 也 必定 能 核验 通过 。 这 样 束 没 
有 硬 分 又 了 ， 只 是 会 有 很 多 临时 的 小 型 分 又 而 已 。 


本 章 3.2 市 提 到 的 “支付 给 脚本 的 哈 希 值 * 就 是 软 分 又 的 一 个 经 典 例 
子 。 第 一 版 比特 币 协 议 里 并 没有 P2SH。P2SH 之 所 以 造成 软 分 又 ， 是 
因为 对 老 节 点 而 言 ， 一 个 有 效 的 P2SH 交 易 也 可 以 核验 通过 一 它 只 验 
证 这 个 哈 希 值 跟前 一 笔 交 易 输 出 哈 希 值 是 不 是 一 样 而 已 ， 它 并 不 知道 
还 要 进一步 检验 脚本 是 否 合法 。 我 们 依赖 靳 版 节点 去 进行 这 项 核验 ; 
脚本 本 身 真 的 可 以 获取 到 前 一 个 交易 输出 的 币 。 


那 我 们 到底 可 以 通过 软 分 义 为 比特 币 协议 添加 哪些 特性 呢 ? P2SH 
古 成 功 的 ， 也 许 添 加 新 的 密码 算法 也 可 以 通过 软 分 义 实 现 。 我 们 也 可 
以 通过 软 分 又 在 元 数据 的 币 基 参 数 中 添加 更 多 的 信息 实现 ， 目 前 ， 币 
基 参 数 可 以 是 任何 数值 ， 但 未 来 我 们 也 许可 以 限定 币 基 参数 的 格式 。 
已 经 有 人 提出 ， 可 以 在 币 基 参 数 里 放 入 一 个 梅 元 尔 树 根 ， 其 中 包含 所 
有 未 被 消费 的 比特 币 的 信息 。 这 种 做 法 只 会 造成 软 分 又 ， 因 为 老 世 点 
核验 通过 的 区 块 ， 在 新 节点 上 可 能 无 法 核验 通过 。 但 随 着 区 块 链 的 延 
长 ， 很 快 老 版 本 束 会 转 而 去 扩展 最 长 的 区 块 链 分 文 。 


其 他 的 一 些 改变 可 能 束 会 产生 硬 分 义 了 ， 比 如 在 比特 币 里 添加 新 
的 功能 操作 代码 、 改 变 区 块 大 小 和 交易 规模 ， 其 至 其 他 一 些 修复 性 的 
改动 。 本 革 3.2 节 提 到 过 MULTISIG 指 令 存 在 一 个 缺陷 ， 它 会 推送 给 堆 
栈 一 个 莫名 其 妙 的 值 ， 要 修复 这 个 缺陷 ， 也 会 产生 硬 分 义 。 这 就 是 为 
什么 尽管 这 个 缺陷 很 烦人 ， 但 也 一 直 没 有 修复 ， 因 为 和 硬 分 叉 相 比 ， 
保留 一 个 缺陷 还 古 可 以 妨 受 的 。 有 些 修 订 非 党 有 意义 ， 但 目前 比特 币 
环境 不 太 可 能 接受 硬 分 义 。 但 许多 优秀 想法 都 在 其 他 的 竞争 币 中 得 到 
了 测试 而 且 成 功 运行 ， 因 为 那些 竞争 币 系 统 是 从 头 开 始 建 立 的 ， 硬 分 
又 不 会 产生 严重 的 后 采 。 我 们 会 在 第 10 章 进行 更 多 的 讨论 。 


比特 币 区 块 大 小 的 难题 


因为 比特 币 变 得 越 来 越 受 欢迎 ， 到 2016 年 年 初 ， 已 经 开始 经 
党 发 生 区 块 被 交易 写 满 的 情况 ， 尤 其 是 当 区 块 在 超过 10 分 钟 后 还 
没有 人 被 矿工 挖 出 来 时 (因为 控 矿 的 随机 性 ， 确 实 有 些 区 块 在 10 分 
钟 后 还 没有 被 挖 到) ， 这 使 得 有 些 交 易 不 得 不 排队 等 待 被 写 进 区 
块 链 。 但 要 改变 区 块 大 小 ， 束 需要 硬 分 义 。 


客 竟 是 否 要 改变 ， 以 及 如 何 改 变 区 块 大 小 ， 在 比特 币 社区 里 
有 热烈 的 讨论 。 这 些 讨论 儿 年 前 驶 开始 了 ， 但 一 直 进 展 缓慢 ， 无 
法 达成 共识 ， 近 来 讨论 日 趋 激 烈 。 我 们 在 后 面 第 7 章 会 讨论 比特 币 
的 社区 、 政 治 与 管理 。 


随 痢 区 块 大 小 问题 得 到 共识 解决 方案 ， 本 章 的 一 些 细节 有 可 
能 就 会 过 时 。 提 高 比特 币 交 易 处 理 能 力 的 一 些 技术 细节 很 有 意 
思 ， 我 们 喜 励 读者 可 以 通过 网 络 阅 读 更 多 的 资料 。 


到 了 这 里 ， 你 一 定 对 比特 币 的 技术 机 制 有 了 一 定 程度 的 了 解 ， 也 
知道 比特 币 节 点 是 如 何 工 作 的 。 但 是 我 们 自身 并 不 是 一 个 比特 币 市 
上 护 ， 你 不 会 在 大 脑 里 运行 比特 币 市 点 程序 。 那 我 们 到 底 如 何 和 网 络 进 
行 区 互 ， 从 而 使 比特 币 可 以 成 为 一 种 货币 呢 ? 如何 让 一 个 市 点 通知 你 
交易 信息 呢 ? 如 何 使 用 现金 来 交换 比特 币 昵 ? 又 如 何 储存 比特 币 呢 ? 
对 于 如 何 创造 一 种 可 被 人 们 使 用 的 货币 《而 不 仅仅 是 一 个 软件 ) 来 
说 ， 这 些 问题 至 关 重 要 ， 我 们 将 会 在 下 一 章 回答 这 些 问 题 。 


延伸 阅读 


在 这 一 章 中 我 们 讨论 了 很 多 技术 细 和 ， 你 也 许 很 难 一 次 消化 。 
作为 本 草 的 补充 读物 ， 你 可 以 上 网 查阅 一 些 我 们 讨论 过 的 资料 。 网 
上 有 许多 网 站 能 让 你 看 到 区 块 和 交易 到 底 是 什么 样子 的 。 比 如 有 一 
个 “区 块 链 浏览 器 >”， 网 址 是 : blockchain.info 。 


还 有 一 本 比特 币 开 发 手册 也 很 好 地 讲述 了 一 些 技术 细 市 〈 尤 其 是 
其 中 的 第 五 、 第 六 和 第 七 章 ) : 


Antonopoulos,Andreas M. Mastering Bitcoin:Unlocking Digital 
Cryptocurrencies . Newton, MA:O'Reilly Media,2014. 


全 和 1- 


咱 4 惠 
如 何 储存 和 使 用 比特 币 


本 章 主 要 讨论 实际 应 用 中 如 何 储存 和 使 用 比特 币 。 


4.1 简单 的 本 地 储存 


让 我 们 从 最 简单 的 储存 方式 开始 ， 也 就 是 把 比特 币 存放 在 本 地 设 
备 上 。 如 我们 之 前 所 说 ， 要 使 用 比特 币 ， 你 首先 要 知道 一 些 公共 的 信 
思 和 一 些 私密 的 信息 。 公 共 信 息 藉 是 那些 记录 在 区 块 链 上 的 内 容 
该 比特 币 的 识别 信息 、 币 值 等 。 私 密 信 息 即 比特 币 持 有 人 一 一 也 惑 是 
你 本 人 的 私 钥 。 你 不 必 太 担心 如 何 储存 公共 信息 ， 因 为 你 随时 都 可 以 
去 调 取 。 但 是 私 钥 则 是 你 需要 好 好 保管 的 。 所 以 在 实际 运用 中 ， 储 存 
比特 币 束 古 储存 与 管理 你 的 私 钥 。 


储存 比特 币 其 实 束 是 如 何 保存 和 管理 比特 币 私 钥 。 


储存 与 管理 私 铀 ， 主 要 有 三 个 目标 : 第 一 是 可 获取 性 ， 当 你 要 用 
比特 币 的 时 候 ， 可 以 随时 随地 取 用 ; 第 二 是 安全 性 ,保证 没有 其 他 人 
可 以 动用 你 的 比特 币 ， 如 采 有 人 能 动用 你 的 比特 币 ， 那 他 可 以 直接 转 
账 给 目 己 ， 之 后 你 束 不 再 拥有 这 个 比特 币 ; 第 三 征 便利 性 ， 密 钥 管理 
应 当 是 简单 易 行 的 。 你 可 以 想到 ， 妥 同时 做 到 这 三 点 是 很 不 容易 的 : 


不 同 的 密 钥 管理 方法 就 是 对 上 述 三 点 〈 可 获取 性 、 安 全 性 和 便 
利 性 ) 做 出 权衡 。 


最 简单 的 钥匙 管理 当然 是 把 它们 储存 在 你 目 己 的 本 地 设备 上 : 你 
的 个 人 电脑 、 你 的 手机 ， 或 你 持 有 的 、 拥 有 的 或 控制 的 小 玩意 。 用 智 
能 手机 应 用 软件 ， 按 几 个 键 你 下 可 以 文 配 使 用 你 的 比特 币 了 ， 这 么 做 
的 确 非常 方便 。 但 这 样 做 的 可 获取 性 或 安全 性 都 不 是 很 好 ， 如 果 你 的 
设备 丢失 ， 或 者 你 的 设备 死机 ， 你 需要 格式 化 你 的 磁盘 ， 或 者 你 的 文 


件 被 病毒 侵蚀 ， 你 的 私 钥 就 丢失 了 ， 你 的 比特 币 也 整 一 同 丢 失 了 。 安 
全 性 方面 的 问题 是 类 似 的 ， 例 如 有 人 完了 到 你 的 设备 或 入 侵 你 的 设备 或 
者 让 你 的 设备 中 毒 ， 将 你 的 私 钥 拷 贝 ， 这样 他 们 束 可 以 将 你 所 有 的 比 
特 币 转 给 他 们 目 己 了 。 


换言之 ， 将 私 钥 存 储 在 你 的 本 地 设备 ， 尤 其 是 手机 设备 ， 就 好 比 
你 将 钱 放 在 你 的 钱包 里 。 在 日 常 花 销 的 时 候 是 很 方便 ， 但 你 一 定 不 想 
将 你 的 毕生 积蓄 都 市 在 身边 ， 因 为 你 不 想 遗 失 或 侦 盗 。 所 以 一 般 而 
言 ， 你 只 把 一 小 部 分 信息 一 一 一 小 部 分 钱 放 在 你 的 钱包 里 ， 而 把 你 大 
部 分 钱 存 在 其 他 地 方 。 


比特 币 钱包 软件 


如 条 你 想 本 地 存放 比特 币 ， 一 般 都 会 使 用 比特 币 钱包 软件 ， 也 就 
征 一 个 管理 你 的 比特 币 和 私 钥 信 息 并 让 你 方便 使 用 的 一 个 应 用 软件 。 
例如 你 想 花 相当 于 4.25 关 元 的 比特 币 在 咖啡 第 严 杯 咖啡 ， 这 个 钱包 应 
用 应 该 很 容易 让 你 做 到 。 比 特 币 钱包 非常 有 用 ， 尤 其 是 你 需要 处 理 一 
大 堆 地 址 和 与 其 相关 的 密 钥 的 时 候 。 前 面 说 过 ， 制 定 一 对 公 钥 私 钥 很 
容易 ， 你 可 以 用 其 来 匿名 与 保护 你 的 个 人 隐私 。 钱 包 应 用 束 是 这 样 一 
个 简单 的 接口 ， 告 诉 你 钱包 里 有 多 少 比 特 币 。 当 你 要 使 用 比特 币 的 时 
候 ， 它 会 处 理 关 于 密 钥 管理 的 一 切 技 术 细节 ， 比 如 使 用 密 钥 或 生成 新 
的 地 址 等 。 


编码 解码 (encoding keys) : Base58 编 码 和 二 维 
位 


要 使 用 或 是 接收 比特 币 ， 你 需要 与 对 方 交 换 地 址 比特 币 送 达 
的 地 址 。 目 前 有 两 种 主流 的 方式 将 地 址 加 密 : 一 种 是 字符 串 ， 另 一 种 
是 QR (Quick Response) 码 [1] 。 


为 了 给 地 址 赋予 一 个 字符 串 ， 我 们 把 密 钥 的 字 节 从 二 进 制 字符 转 
换 成 Base58 码 。Base58 就 是 用 一 个 包含 58 个 字符 的 字符 集 来 编码 ， 这 
被 称 为 base58 记 号 法 。 为 什么 是 58 个 字符 ? 我们 把 大 写 小 写字 母 都 算 
上 ， 然 后 去 掉 几 个 比较 容易 混淆 的 字母 ， 比 如 大 写 的 “0” 与 “0 看 起 来 
很 像 ， 就 得 到 了 58 个 字符 。 我 们 可 以 将 加 密 的 地 址 读 出 来 ， 或 者 在 需 
要 时 也 能 够 打印 出 来 。 理 想 情 况 下 ， 最 好 能 避免 这 种 手工 的 方式 ， 而 
是 采用 其 他 方法 ， 例 如 我 们 接 下 来 要 讨论 的 QR 码 。 


1AlzPleP5QGefi2DMPTfTL5SLmv7DivfNa 
以 上 就 十 比特 币 创 世 块 地 址 的 Base58 代 码 。 
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图 4.1 QR 码 
注 : 一 个 QR 码 代表 着 一 个 真实 的 比特 币 地 址 。 请 扫 上 面 的 QR 码 给 我 们 转账 一 些 比 特 币 。 


第 二 种 方法 是 用 QR 码 ， 一 种 简单 的 二 维 码 。 用 QR 码 的 好 处 是 你 
可 以 用 手机 担 张 照 片 ， 然 后 钱包 应 用 会 把 QR 码 目 动 转换 成 代表 比特 币 
地 址 的 字 节 。 这 对 商店 十 分 有 用 : 比如 一 个 付款 机 可 以 显示 一 个 QR 


码 ， 你 可 以 用 手机 扫描 一 下 ， 然 后 就 可 以 用 手机 把 比特 币 转 账 到 付款 
地 址 。 这 对 于 手机 与 手机 之 间 的 转账 也 很 有 用 。 


虚 采 地 址 


有 些 商 家 或 个 人 喜欢 将 地 址 转换 成 一 些 人 能 够 识别 的 字符 。 例 
如 ， 博 彩 公 司 网 站 中 本 聪 骨头 (Satoshi Bones) 的 收 款 地 址 中 就 含 
有 “骨头 ”(bones) ， 如 下 所 示 的 2 一 6 位 字符 
(lbonesEeTcABPjLzAbl1VkFgySY6Zqu3sX) ， 当 然 所 有 的 地 址 都 是 1 
开头 的 ， 代 表 支 付 到 比特 币 地 址 的 标准 交易 或 者 说 是 标准 的 比特 币 转 
账 流程 (pay-to-pubkey-hash) 。 


地 址 都 是 通过 哈 希 计算 产生 的 随机 字符 串 ， 那 么 如 何 才 能 获得 合 

有 “bones"” 字 符 串 的 地 址 呢 ? 如 果 中 本 聪 骨 头 只 是 随便 制定 它们 的 地 

址 ， 无 法 进行 进 癌 计算 哈 希 函数 ， 它 们 无 法 得 到 相应 的 私 铀 ， 也 无 法 

控制 地 址 的 生成 。 这 样 的 话 ， 它 们 只 能 不 停 地 重复 生成 私 铀 ， 直 到 私 

钥 中 包含 它们 希望 出 现 的 字符 串 。 这 样 的 地 址 被 称 为 虚荣 地 址 
(vanity address) 。 这 种 地 址 事实 上 是 可 以 通过 工具 生成 的 。 


一 般 需 要 多 少 工 作 量 能 得 到 这 样 的 结果 呢 ? 由 于 每 个 字符 位 有 58 
种 可 能 性 ， 如 有 果 你 想得到 一 个 字符 串 中 有 k 个 字 节 的 特殊 字符 ， 你 平均 
需要 生成 58 的 k 次 方 次 地 址 ， 才 能 获得 你 要 的 结果 。 所 以 如 果 要 生 
成 “bones” 开 头 的 地 址 则 要 生成 超过 6 亿 个 地 址 ! 这 个 工作 现在 通过 一 
人 台 笔 记 本 电脑 束 可 以 完成 。 但 是 你 每 增加 一 个 字符 ， 工 作 量 会 几何 级 
数 增长 。 获 得 一 个 15 位 字符 的 地 址 需要 的 计算 量 难以 想象 ， 而 且 是 不 
间断 的 哈 硕 计算 ， 这 是 无 法 实现 的 。 


虚 采 地 址 的 加 速生 成 


在 比特 币 世 界 ， 如 采 我 们 将 一 个 私 钥 称 为 x<， 公 钥 是 gr ， 其 地 
址 是 H(g)， 即 公 铀 的 哈 布 值 。 我 们 不 会 探讨 其 中 的 细节 。 但 是 通 
过 指数 运算 来 生成 地 址 显然 是 很 慢 的 。 

最 直接 的 方式 是 挑选 一 个 伪 随 机 序列 x， 计 算 H(g* )， 不 停 地 
0 
ee 接 下 来 就 使 用 x+1 来 计算 ， 如 此 反 

2 是 吾 人 We, ee 

， 所 以 我 们 只 需要 做 乘法 运算 而 无 须 做 指数 运算 ， 这 会 更 快 。 
事实 上 ee 


[1] QR 码 是 一 种 简单 的 二 维 码 。 一 一 译 者 注 


4.2 热 储 存 与 冷 储 存 


如 我 们 所 看 到 的 ， 把 比特 币 放 在 你 的 个 人 电脑 里 就 像 把 钱 放 在 钱 
包 里 带 着 ， 这 叫 “ 热 储存 ”。 这 很 方便 但 很 不 安全 。 而 另 一 方面 ,“ 冷 储 
存 ” 征 离线 的 ， 把 比特 币 锁 在 其 他 地 方 。 冷 储存 不 联 入 互联 网 ， 十 封存 
起 来 的 。 所 以 相对 安全 和 保险 ， 但 是 很 显然 不 方便 。 这 就 像 你 带 着 一 
些 和 零钱 出 去 ， 但 是 把 终生 积 导 锁 在 保险 箱 里 的 道理 一 样 。 


要 分 开 热 储存 和 冷 储 存 ， 你 也 必须 要 用 不 同 的 私 钥 ， 否 则 如 果 热 
储存 被 人 破坏 了 ， 冷 储存 也 会 处 于 危险 之 中 。 你 也 需要 把 币 在 两 边 转 
来 转 去 ， 这 样 两 边 都 需要 知道 对 方 的 地 址 或 公 钥 。 


因为 冷 傅 存 是 离线 的 ， 所 以 热 储存 与 冷 储存 无 法 通过 网 络 相连 ， 
但 其 实 冷 储存 不 需要 上 线 就 可 以 接收 比特 币 一 一 热 储存 端 知道 冷 储存 
的 地 址 ， 所 以 它 随时 可 以 给 冷 储存 转账 。 当 你 觉得 你 的 钱包 里 的 钱 太 
多 的 时 候 ， 你 可 以 把 一 部 分 的 币 转 到 冷 储存 ， 但 不 需要 让 冷 储存 上 线 
而 骏 露 自己 。 当 然 ， 只 要 冷 储存 上 线 ， 就 可 以 接收 到 区 块 链 的 转账 信 
轧 ， 然 后 可 以 随意 处 理 这 些 比特 币 。 


但 管理 冷 储存 有 一 个 小 问题 : 一 方面 ， 为 了 私密 性 和 其 他 考虑 ， 
我 们 希望 使 用 不 同 的 地 址 (这 些 地 址 有 不 同 的 密 钥 ) 收 款 。 所 以 我 们 
把 比特 币 从 热 储存 转 到 冷 储存 的 时 候 ， 要 用 一 个 新 的 冷 储 存 地 址 。 但 
苹 由 于 冷 储存 不 上 线 ， 所 以 热 存储 剖 必须 要 能 找到 这 样 的 地 址 。 


一 个 直接 的 解决 方案 古 让 冷 储存 一 次 性 生成 一 批 地 址 ， 然 后 把 地 
址 列表 发 送 给 热 储 存 ， 热 储存 可 以 依次 使 用 这 些 地 址 ， 当 然 ， 这 个 方 
法 的 缺陷 十 为 了 传送 地 址 ， 我 们 不 得 不 经 党 让 冷 储存 痢 上 线 。 


分 层 确 定性 钱包 


一 个 比较 有 效 的 解决 办 法 是 使 用 一 个 分 层 确定 性 钱包 (hierarchical 
deterministic wallet) 。 这 个 方法 可 以 让 冷 储存 端 制 造 无 限制 的 地 址 数 
量 ， 然 后 通过 一 个 短暂 的 、 一 次 性 的 交换 ， 主 热 储存 端 知 晓 所 有 地 
址 。 但 这 需要 使 用 密码 学 的 技巧 。 


回想 一 下 ， 我 们 在 第 1 章 谈 到 密 钥 生成 和 电子 签名 时 ， 我 们 使 用 
了 “generateKeys” 来 生成 一 个 公 角 〈 也 束 是 地 址 ) 和 一 个 私 钥 。 在 分 层 
确定 性 钱包 里 ， 生 成 密 钥 的 方式 不 太一 样 。 不 同 于 生成 一 个 单一 地 
址 ， 我 们 生成 一 个 被 称 为 “地 址 生成 信息 ”的 东西 ; 我们 也 不 只 生成 私 
钥 ， 而 是 生成 < 私 钥 生 成 信息 ”。 有 了 地 址 生成 信息 ， 我 们 残 可 以 生成 一 
系列 地 址 。 我 们 把 地 址 生成 信息 和 一 个 整数 i 作 为 地 址 生成 函数 的 输入 
参数 ， 就 生成 了 序列 里 的 第 i 个 地 址 。 同 样 ， 我 们 用 私 钥 生 成 信息 来 生 
成 一 系列 私 钥 。 


密码 学 的 神奇 之 处 在 于 : 对 于 每 个 i 而 言 ， 第 i 个 地 址 和 第 i 个 私 钥 相 
匹配 一 一 换言之 ， 第 个 私 钥 控 制 第 个 地 址 的 比特 币 ， 就 好 像 这 是 用 经 
典 办 法 产生 的 。 这 样 一 来 ， 我 们 束 有 一 长 串 配对 的 公 和 钥 和 密 钥 。 


密码 学 的 另 一 个 技术 优点 是 安全 性 一 一 地 址 生成 信息 并 不 会 泄露 
关于 私 钥 本 身 的 任何 信息 。 这 意味 着 你 可 以 放心 地 把 地 址 生成 信息 给 
任何 人 ， 他 束 可 以 用 它 来 生成 第 i 个 密 钥 。 


并 不 是 所 有 的 电子 签名 算法 目前 都 可 用 于 生成 分 层 确定 性 密 钥 。 
比特 币 使 用 的 电子 签名 算法 ECDSA 支 持 分 层 密 钥 ， 让 我 们 可 以 使 用 这 
个 技巧 。 即 冷 储存 端 生成 任意 多 个 密 铀 ， 热 储存 端 生 成 相应 的 地 址 ， 
见 图 4.2。 


热 储存 端 贺 
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图 4.2 分 层 确定 性 钱包 示意 
注 : 冷 储 存 端 生成 和 保存 私 钥 生 成 信息 和 地 址 生成 信息 ， 然 后 将 地 址 生成 信息 一 次 性 转 给 热 储 
存 端 。 当 热 储存 端 要 给 冷 储 存 端 转账 时 ， 就 按 次 序 生成 新 的 地 址 。 冷 储存 端 上 线 后 ， 也 会 按 顺 
序 生成 地 址 ， 然后 查收 相应 地 址 收 到 的 款项 ， 直到 某 一 地 址 没有 收 款 位 置 。 如 有 果 冷 储存 剖 需 要 


问 热 储存 端 转 账 ， 它 就 会 按 顺 序 生成 私 钥 序列 。 


ECDSA 的 工作 机 制 如 下 : 通常 一 个 ECDSA 私 钥 是 一 个 随机 数 x， 
其 对 应 的 公 钥 是 gx 。 为 了 生成 分 层 确 定性 密 钥 ， 我 们 需要 另外 两 个 随 
机 数 ky 。 


私 钥 生成 信息 :kxy 

第 i 个 私 钥 :x=y+HCkl 
地 址 生成 信息 :kgy 

第 i 个 公 钥 :gxi =gHdlD .gy 


第 个 地 址 :H(gxi ) 


分 层 确 定性 钱包 有 我 们 需要 的 所 有 特性 : 两 方 都 可 以 生成 公 钥 / 私 
钥 序列 ， 而 且 这 些 公 钥 / 私 钥 相互 配对 (因为 与 私 钥 x 对 应 的 公 钥 就 是 gx 
) 。 而 且 ， 这 种 万 法 还 具有 故 外 一 种 我 们 尚未 近 太 的 特性 ; 当 你 向 外 
提供 这 些 公 和 钥 时 ， 这 些 公 钥 之 间 没 有 联系 ， 也 就 古 说 ， 别 人 无 法 断定 


这 些 公 钥 来 自 同 一 个 钱包 。 稻 草 人 方案 〈 冷 储存 端 生成 大 量 的 地 址 ) 
也 具有 这 种 特性 ， 但 我 们 需要 小 心地 保护 这 些 地 址 ， 因 为 这 些 地 址 事 
实 上 并 不 是 独立 生成 的 。 这 种 特性 对 于 保护 隐私 和 实现 匿名 是 至 关 重 
要 的 ， 我 们 将 在 第 6 章 展开 讨论 。 


分 层 确 定性 钱包 有 两 种 不 同 的 安全 性 ， 热 储存 端的 安全 性 较 低 。 
如 果 热 储存 受到 损害 ， 那 么 上 文 提 到 的 非 相 关 性 束 不 复 存 在 ， 但 这 种 
情况 下 ， 私 钥 (以 及 比特 币 ) 仍然 是 安全 的 。 通 常 ， 分 层 确定 性 钱包 
文 持 任 意 多 个 安全 等 级 一 这 也 是 “分 层 ” 的 由 来 一 一 虽然 ， 我 们 还 没有 
讨论 细节 。 这 种 安排 非常 有 用 ， 例 如 ， 当 一 家 公司 内 部 存在 多 种 授权 
级 别 时 ， 就 需要 这 种 特性 。 


现在 ， 我 们 讨论 一 下 冷 储存 如 何 保存 信息 ( 私 钥 或 私 钥 生 成 信 
息 ) 。 第 一 种 方式 是 将 信息 保存 在 某 个 设备 (例如 笔记 本 电脑 、 手 机 
或 平板 电脑 ， 或 U 盘 ) 中 ， 然 后 将 这 个 设备 好 好 保管 ， 最 好 是 让 这 些 设 
备 断 开 网 络 ， 并 将 其 锁 起 来 ， 这 样 ， 如 果 有 人 想 盗 取 信息 ， 那 么 他 首 
先 需 要 进入 这 些 设备 的 保存 处 。 


大 脑 钱包 


第 二 种 方法 我 们 称 之 为 大 脑 钱 包 (brain walle) 。 这 种 方式 下 ， 
你 通过 一 个 密码 束 可 以 文 取 比 特 币 。 大 脑 钱 包 无 须 使 用 硬件 、 纸 张 或 
者 其 他 长 期 储存 介质 。 大 脑 钱 包 在 物理 安全 性 较 差 的 情况 下 (例如 跨 
国 出 差 、 旅 行 时 ) 非常 有 用 。 


大 脑 钱 包 的 主要 原理 是 用 一 个 可 预测 的 算法 把 一 个 口令 变 成 一 对 
公 钥 / 私 钥 。 例 如 ， 你 可 以 选择 一 个 哈 布 算法 将 口令 转译 成 一 个 私 钥 。 
在 给 定 私 钥 的 情况 下 ， 可 以 用 同样 的 方法 得 到 私 铀 。 进 一 步 地 ， 结 合 


前 文 所 提 到 的 分 层 确 定性 钱包 技术 ， 你 可 以 根据 口令 生成 一 整 又 地 址 
和 私 钥 ， 从 而 实现 钱包 的 完整 功能 。 


但 是 ， 如 果 一 个 黑客 猜 到 你 的 口令 的 话 ， 他 还 是 可 以 偷 走 你 大 脑 
钱包 里 的 所 有 私 钥 。 在 电脑 安全 领域 里 ， 我 们 通常 假定 黑客 知道 你 生 
成 密 钥 的 步 又 ， 黑 客 不 知道 的 只 古 你 的 口令 。 所 以 黑客 可 以 笑 试 使 用 
不 同 的 口令 ， 生 成 地 址 ， 并 在 区 块 链 中 查看 这 些 地 址 上 是 否 还 存在 未 
被 使 用 的 比特 币 ， 一 旦 发 现 比特 币 ， 黑 客 束 可 以 迅速 把 这 些 比 特 币 转 
给 自己 。 墨客 可 能 永远 都 不 知道 或 者 根本 不 关心 ) 这 些 比 特 币 属于 
谁 ， 这 类 攻击 也 不 需要 入 侵 任 何 设备 ， 猜 口令 不 针对 任何 人 ， 所 以 也 
不 会 留 下 任何 痕迹 。 


这 种 方法 与 尝试 破解 电子 邮箱 密码 的 方法 不 同 ， 邮 件 服务 器 通常 
对 密码 试 错 有 一 定 的 次 数 或 频率 限制 〈 被 称 为 在 线 猜测 ) ， 但 是 对 于 
大 脑 钱 包 而 言 ， 淋 客 可 以 下 载 一 堆 示 被 使 用 的 比特 币 的 地 址 ， 然 后 用 
电脑 程序 去 慢 慢 地 试 错 ， 墨 客 都 不 需要 知道 大 脑 钱 包 的 地 址 ， 这 被 称 
为 离线 猜测 或 者 密码 破解 。 相 应 地 ， 设 置 口 令 的 难度 大 大 增加 了 ， 又 
要 容易 记 ， 又 要 不 容易 被 猜 中 。 一 种 安全 的 方法 是 使 用 自动 程序 生成 
一 个 80 位 的 数字 ， 然 后 将 其 转换 成 口令 。 


ED 


有 一 种 简便 的 方法 可 以 生成 口令 : 从 最 常用 的 10 000 英 语词 汇 
中 ， 随 机 选择 6 个 词 ， 从 而 生成 大 致 80 位 长 度 的 字 节 [6xlog? (10 
000) 大 致 等 于 80]。 很 多 人 发 现 这 个 方法 比 随 机 取 字 母 容 易 记 忆 ， 
为 这 种 方法 生成 的 口令 通常 是 下 面 这 样子 的 : 
worn till alloy focusing okay reducing 


earth dutch fake tired dot occasions 


LA | 


在 实际 操作 中 ， 我 们 可 以 让 程序 生成 密 钥 的 速度 变 慢 (为 程序 加 
入 一 个 延迟 ) ， 这 样 ， 黑 客 通过 试 错 法 来 破解 私 钥 就 需要 花费 很 长 的 
时 间 ， 这 就 是 所 谓 的 密 钥 延展 (key stretching) 。 比 如 ， 为 了 使 密 钥 生 
成 变 慢 ， 我 们 可 以 让 程序 把 本 来 很 容易 计算 的 哈 希 函数 SHA-256 算 上 
2 次， 这 样 一 来 就 把 黑客 的 工作 量 增加 了 2”0 倍 。 当 然 ， 如 果 太 慢 的 
话 ， 用 户 在 使 用 比特 币 的 时 候 ， 也 会 计算 得 很 乙 ， 这 也 很 磋 烦 。 


如 果 你 彻 拘 下 记 了 大 脑 钱 包 的 口令 ， 钱 包 里 的 比特 币 就 永远 取 不 
2 


级 钱包 


第 三 个 选择 是 纸钱 包 ( 见 图 4.3) : 把 密 钥 印 在 纸 上 ， 然 后 把 纸 锁 
在 保险 箱 里 。 显 然 ， 这 种 方式 的 安全 程度 取决 于 我 们 所 使 用 的 纸 的 安 
全 程度 。 纸 钱包 通常 用 两 种 方法 为 公私 钥匙 编码 : 二 维 码 和 base58 码 。 
就 像 大 脑 钱 包 一 样 ， 只 需要 存储 少量 关键 信息 ， 就 可 以 重新 建立 一 个 
50 
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图 4.3 带 公 钥 的 比特 币 纸钱 包 
注 : 同时 使 用 了 二 维 码 和 base58 码 加 密 。 


防 损 硬件 


第 四 种 方法 是 使 用 防 损 硬件 (tamper-resistant device) ， 用 它 来 保 
存 密 钥 或 用 它 来 生成 密 钥 ， 总 之 ， 此 类 设备 本 身 不 会 泄露 密 钥 或 输出 
密 钥 ， 而 只 是 在 我 们 按 下 设备 的 某 个 按钮 或 输入 设备 密码 后 显示 密 钥 
的 保管 状态 。 防 损 硬 件 的 好 处 在 于 一 旦 设备 丢失 或 者 被 盗 ， 我 们 马上 
就 能 知道 。 而 且 ， 想 要 盗 走 密 钥 ， 必 须 先 盗 走 这 个 设备 。 这 和 将 密 钥 
保存 在 电脑 上 是 不 一 样 的 。 


总 而 言 之 ， 用 户 可 使 用 上 述 一 个 或 是 多 个 方法 来 你 存 密 钥 。 对 于 
热 储存 ， 尤 其 是 存 有 大 量 比 特 币 的 热 储 存 而 言 ， 人 们 愿意 投入 大 量 成 
本 或 先进 的 安全 机 制 保护 它们 。 我 们 将 在 下 一 章 讨论 这 些 更 先进 的 机 
制 。 


4.3 密 钥 分 存 和 密 钥 共 孚 


现在 我 们 了 解 了 各 种 保存 密 钥 的 方法 ， 但 在 这 些 方法 里 ， 我 们 总 
征 把 密 钥 保存 在 一 个 地 方 : 要 么 锁 在 保险 箱 ， 要 么 保存 在 软件 中 或 打 
印 在 纸 上 。 这 会 造成 一 个 问题 : 一 毁 俱 毁 。 当 然 ， 我 们 可 以 为 密 钥 建 
立 备 份 ， 这 可 以 降低 密 钥 丢失 或 损坏 的 风险 《可 获取 性 ) ， 但 同时 会 
增加 密 钥 被 盗 的 风险 (安全 性 ) 。 那 是 否 存在 一 种 方法 ， 可 以 使 密 钥 
的 可 获取 性 和 安全 性 都 得 到 提高 ? 答案 是 肯定 的 。 密 码 学 上 有 一 种 称 
为 “ 密 钥 分 存 ” 的 技术 ， 束 可 以 做 到 这 一 点 。 


方法 如 下 : 密 钥 被 分 成 N 个 片段 ， 只 要 我 们 获得 其 中 的 K 个 片段 ， 
就 可 以 把 原 密 钥 重 新 还 原 。 但 如 有 果 获 得 的 厂 段 数量 少 于 K， 束 无 法 知道 
天 于 密 钥 的 任何 信息 。 


要 实现 上 述 效 果 ， 把 密 钥 简 单 地 切 分 成 若干 片段 是 不 行 的 ， 这 样 
的 话 ， 每 一 个 片段 都 会 透露 密 钥 的 部 分 信息 。 芭 所 以 ， 密 钥 分 存 并 不 
是 简单 地 切 分 密 钥 ， 而 是 将 密 钥 转 换 成 若干 “ 子 密 钥 ”。 


举 个 例子 ， 我 们 设 定 N=2，K=2， 意 味 着 我 们 把 想 要 加 密 的 密 钥 
( 原 密 钥 ) 转换 成 两 个 子 密 钥 ， 只 有 同时 获得 这 两 个 子 密 钥 才能 拼 出 
原 密 钥 。 我 们 把 原 密 钥 称 为 S，S 是 一 个 很 大 的 数字 (比如 128 位 ) 。 然 
后 ， 我 们 可 以 随机 产生 另 一 个 128 位 的 数字 R， 让 R 作 为 其 中 的 一 个 子 密 
钥 ， 那 么 另外 一 个 子 密 钥 就 是 S@R (@ 代 表 轴 辑 算 符 互 斥 ，exclusive 
OR， 或 缩写 成 XYOR， 也 叫 异 或 ， 我 们 把 S@R 称 为 “ 密 文 ”。 然 后 ， 我 
们 把 子 密 钥 R 和 密 文 S@R 保 存在 两 个 不 同 的 地 方 。 单 独 根据 子 密 钥 R 或 
密 文 都 无 法 知晓 原来 密 钥 的 任何 信息 ， 但 如 果 我 们 同时 得 到 R 和 SE@R， 
我 们 可 以 通过 异 或 逻辑 运算 得 到 原来 的 密 钥 。[2] 


N 和 K 相 等 时 ， 我 们 总 是 可 以 这 样 做 : 对 于 之 前 的 K-1 个 子 密 钥 ， 
我 们 可 以 生成 N-1 不 同 的 随机 数 ， 节 后 一 个 子 密 钥 吏 是 原 密 钥 与 所 有 其 
他 N-1 个 子 密 钥 的 异 或 。 但 如 有 果 N 大 于 K 的 话 ， 这 个 技巧 束 行 不 通 了 。 
我 们 需要 借助 其 他 代数 方法 。 


图 4.4 中 ， 我 们 是 如 何 生成 子 密 钥 的 呢 ? 首先 ， 我 们 把 $ 标 记 在 Y 轴 
上 (0，S) ， 然 后 经 过 该 点 画 一 条 直线 ， 和 斜率 随机 ， 接 下 来 ， 我 们 就 
可 以 在 这 条 线 上 挑 一 些 点 ， 要 多 少 有 多 少 。 这 样 ， 我 们 就 得 到 NN 个 子 密 
钥 ， 并 且 K=2。 


(2,S+2R) 


图 4.4 密 钥 分 存 的 几何 示例 (N=2) 
注 ，S 代 表 原 密 钥 ， 被 编码 成 一 个 大 的 整数 ， 图 中 射线 的 斜率 随机 。 和 斜 线 上 的 点 (主要 是 它们 


的 Y 坐 标 S+R，S+2R，.…) 代表 子 密 钥 。 连 接任 何 两 个 点 ， 都 可 以 得 到 S[ 两 点 连 线 ， 延 长 ， 与 
Y 轴 的 交点 就 是 s ( 黑 点 ) ]。 若是 只 有 一 个 点 ， 勾 无 法 确定 斜率 (斜率 随机 ) ， 束 无 法 得 到 $。 


为 什么 我 们 得 到 两 个 点 融 可 以 还 原 原 密 钥 呢 ? 首先 ， 连 接 两 个 点 
可 以 得 到 一 条 直线 ， 这 条 直线 和 Y 轴 的 交点 吏 征 S。 然 而 ， 如 采 只 有 一 
个 点 ， 将 得 不 到 任何 信息 ， 由 于 直线 斜率 是 随机 的 ， 所 以 ， 通 过 该 点 
的 任何 直线 都 有 可 能 是 我 们 生成 子 密 钥 所 采用 的 那 条 直线 ， 但 所 有 直 
线 和 Y 轴 的 交点 都 不 同 。 


上 述 方法 中 ， 有 一 点 很 精妙 :要 让 这 个 方法 在 数学 上 行 得 通 ， 我 
们 需要 找 一 个 足够 大 的 素数 P 取 模 。P 不 需要 和 原 密 钥 有 任何 关系 ， 只 
需要 足够 大 就 可 以 。S 的 值 在 0O 和 P-1 之 间 〈 含 0 和 P-1) 。 上 文中 ， 我 们 
说 通过 S 画 直线 并 在 直线 上 挑选 一 些 点 ， 实 际 操作 时 ， 我 们 其 实 是 生成 
一 个 介 于 0 到 P-1 的 随机 数 R， 并 生成 下 列 点 : 


x=1,y=(S+R)mod P 
Xx=2,y=(S+2R)mod P 
X=3,y=(S+3R)modP 


原 密 钥 对 应 的 坐标 为 x=0，y=(S+0xR) modP， 其 实 就 x=0，y=S。 


上 述 方法 在 K=2，N 为 任意 数字 的 情况 下 都 有 效 ， 例如， 如 果 
N=4， 束 是 生成 4 个 子 密 钥 ， 并 你 存在 4 个 不 同 的 设备 里 。 万 一 有 人 偷 了 
其 中 的 一 个 ， 他 对 密 钥 仍 一 无 所 知 。 即 使 丢 了 两 个 子 密 钥 ， 你 也 仍然 
可 以 通过 男 外 两 个 子 密 钥 来 得 到 原 密 钥 。 


上 述 方 法 可 以 进一步 扩展 : 我 们 可 以 用 任何 的 K 和 N (只 要 你 证 
K<N) 来 实现 密 钥 分 存 。 在 图 4.4 中 我 们 用 一 条 直线 进行 密 钥 分 存 ， 在 
代数 中 ， 直 线 就 是 目 由 度 为 1 的 多 项 式 。 如 有 果 K=3， 我 们 就 要 用 抛物 线 
来 实现 ， 擅 物 线 是 自由 度 为 2 的 多 项 式 。 我 们 可 以 用 表 4.1 中 所 示 公 式 来 
表达 这 一 递 进 系列 。 


表 4.1 密 钥 分 存 的 数学 原理 


公式 自由 度 形状 。 ”随机 参数 还原 原 密 钥 所 


的 子 密 钥 数 量 
(S+RX) mod 了 ] 直线 及 2 
(S+RIX+R,X’) modP 2 二 次 曲线 R,, R, 3 
(S+RX+RX +RiX’) modP 3 三 次 曲线 R ，R. ，R。 4 


注意 ， 如 采 使 用 目 由 度 为 k-1 的 曲线 上 的 若干 点 来 进行 密 钥 分 存 ， 
那么 ,为 了 还 原 原 密 钥 ， 至 少 需 要 得 到 K 个 点 的 数据 。 


数学 上 ， 拉 格 朗 日 公 式 表 明 ， 如 果 要 回归 一 条 自由 度 为 k-1 的 曲 
线 ， 需 要 获得 至 少 K 个 点 。 最 简单 的 例子 就 是 ， 用 尺子 连接 两 个 点 ， 职 
可 以 得 到 一 条 直线 。 因 此 ， 如 果 我 们 将 原 密 钥 转 换 成 N 个 子 密 钥 ， 除 非 
黑客 获得 了 K-1 个 子 密 钥 ， 否 则 原 密 钥 就 是 安全 的 ， 换 个 说 法 ， 我 们 最 
多 可 以 承受 N-K 个 子 密 钥 被 泄露 。 


当然 ， 密 钥 分 存 并 不 是 比特 币 的 专用 技术 。 你 可 以 将 你 的 密码 进 
行 密 钥 分 存 ， 然 后 把 子 密 钥 告诉 你 的 朋友 ， 或 把 它们 放 在 不 同 的 地 
方 。 但 是 ， 实 际 上 并 不 会 有 人 真 的 这 么 做 。 一 方面 这 么 做 不 太 方便 ， 
男 一 方面 ， 目 前 市 场 上 也 有 其 他 的 安全 机 制 ， 例 如 使 用 短信 进行 双重 
验证 。 但 对 于 比特 币 而 言 ， 如 来 你 选择 本 地 保存 密 钥 ， 那 么 双重 验证 
等 安全 机 制 束 不 适用 了 ， 我 们 无 法 通过 短信 验证 码 的 方式 来 控制 比特 
币 败 户 % 当 然 ; 注 线 伐 包 则 不同 ,我们 会 在 下 一 家 寺 从 8 不 过 3 宇 佬 
钱包 和 本 地 储存 的 区 别 不 大 ， 类 似 的 问题 总 是 存在 ， 只 不 过 换 了 一 种 
方式 。 毕 竟 ， 在 线 钱包 的 服务 商 在 保存 密 钥 的 时 候 也 不 能 只 使 用 一 种 
安全 措施 。 


门限 密码 (threshold cryptography) 


密 钥 分 存 还 是 有 一 个 问题 : 密 钥 分 存 之 后 ， 如 于 我 们 后 面 要 用 
密 钥 来 签名 ， 那 束 需 要 取得 子 密 钥 ， 还 原 成 原 密 钥 ， 然 后 才能 签名 
这 个 过 程 有 可 能 被 黑客 乘虚 而 入 ， 盗 取 密 钥 。 


原 


、 
Le 


密码 学 可 以 解决 这 个 问题 。 如 采 子 密 钥 储存 在 不 同 的 设备 中 ， 可 
以 以 去 中 心 化 的 方式 还 原 原 密 钥 ， 而 不 是 在 茶 台 设备 上 完成 。 这 种 技 
术 叫 “门限 签名 ” \threshold signature) 技术 。 典 型 的 例子 就 是 使 用 双重 
安全 机 制 的 电子 钱包 (N=2 且 K=2) ， 如 果 两 个 子 密 钥 分 别 保存 在 个 人 
电脑 和 手机 上 ， 你 可 以 在 电脑 上 发 起 付款 ， 这 时 ， 电 脑 会 生成 一 个 签 
名 片段 ， 并 发 送 到 你 的 手机 上 ， 然 后 ， 手 机 会 提示 你 付 球 信息 (包括 
收 款 人 、 金 额 等 ) ， 然 后 等 待 你 确认 。 如 果 你 确认 了 付款 信息 ， 这 
时 ， 手 机 会 利用 它 的 子 密 钥 完成 整个 签名 ， 然 后 广播 到 区 块 链 上 “。 万 
一 墨客 控制 了 你 的 电脑 ， 试 图 把 比特 币 转 到 他 的 账户 ， 你 根据 手机 上 
的 付款 信息 束 知 道 有 问题 了 ， 从 而 不 会 确认 这 笔 交 易 。| 门 限 密码 涉及 
的 数学 细 方 比较 复杂 ， 此 处 我 们 不 展开 讨论 。 


| ] 限 签名 


门限 签名 是 密码 学 中 的 一 项 技术 ， 将 一 个 密 钥 切 分 成 不 同 片 
段 ， 分 别 铺 存 ， 在 交易 签名 时 无 须 还 原 原 密 钥 。 而 多 重 釜 名 是 比特 
币 脚 本 的 特性 ， 把 一 个 比特 币 账户 的 控制 权 区 给 多 个 密 钥 ， 这 些 密 
钥 共同 保障 账户 安全 。 门 限 签名 和 多 重 签名 都 能 区 服 密 钥 单 点 保存 
的 缺陷 。 


还 有 另外 一 种 方法 可 以 克服 密 钥 单 点 保存 的 缺陷 ， 即 多 重 签名 
(multisignatures) ， 这 个 名 词 在 第 3 章 曾 出 现 过 。 通 过 比特 币 脚本 ， 可 
以 直接 把 一 个 比特 币 账户 的 控制 权 交 给 多 个 密 钥 ， 而 不 是 将 密 钥 分 
存 。 这 些 密 钥 可 以 保存 在 不 同 的 地 点 ， 并 分 别 生 成 签名 。 当 然 ， 最 终 
完成 的 交易 的 信息 还 是 会 保存 在 某 台 设备 上 ， 但 即使 黑客 控制 了 这 台 
设备 ， 他 所 能 做 的 也 只 不 过 阻止 这 个 交易 被 广播 到 整个 网 络 上 去 。 没 
有 其 他 设备 参与 ， 他 无 法 生成 出 一 个 正当 有 效 的 多 重 签名 。 


举例 来 说 ,假设 本 书 的 作者 安德鲁 (Andrew) 、 阿 尔 文 德 
(Arvind) 、 爱 德 华 (Ed) 、 约 什 (Joseph) 和 史 蒂 文 (Steven) 是 一 
家 公司 的 创始 人 一 一 也 许 我 们 就 是 依靠 出 售 这 本 书 的 版 权 来 创建 公司 
一 一 那 这 家 公司 就 有 许多 的 比特 币 了。 我 们 可 能 会 用 多 重 签 名 来 保 扩 
这 些 比 特 币 。 我 们 5 个 人 ， 每 人 都 有 一 对 密 钥 ， 我 们 可 以 用 其 中 的 3 个 
签名 来 保护 冷 储存 一 一 一 笔 交 易 需 要 5 个 人 中 至 少 3 个 人 的 签名 才能 完 
成 o 


这 样 ， 只 要 我 们 5 个 人 在 不 同 地 方 且 使 用 不 同 的 安全 措施 保存 各 自 
的 密 钥 ， 那 么 比特 币 就 会 相当 安全 。 黑 客 必须 盗 取 我 们 当中 3 个 人 的 密 
钥 ， 才 能 盗 取 比 特 币 。 即 便 我 们 其 中 一 个 或 两 个 背弃 了 我 们 ， 他 
( 们 ) 也 无 法 卷 款 而 逃 ， 因 为 他 们 还 需要 另 一 个 签名 。[3 引 同时 ， 如 果 
我 们 其 中 一 个 遗失 了 密 钥 ， 其 他 人 还 是 可 以 取出 比特 币 ， 并 转 到 新 的 
账户 ， 重 新 设置 密码 。 总 而 言 之 ， 多 重 签名 可 以 比较 妥善 地 管理 在 冷 
储存 端的 大 额 比 特 币 ， 任 何 重大 事项 都 需要 多 人 的 参与 才能 实现 。 


上 文中 ， 我 们 次 到 ， 人 们 使 用 门限 从 名 拉 术 的 原因 是 为 了 实现 双 
重 安全 机 制 或 多 重 安全 机 制 ， 使 用 多 重 签名 技术 的 原因 是 为 了 实现 多 
人 对 共同 财产 实现 共同 控制 。 实 际 上 ， 这 两 种 技术 都 可 以 实现 上 述 两 
种 目的 。 


0D 


的 


[1] 《 司 轴 记 》 里 的 藏 室 图 储存 方法 在 现实 中 是 不 可 取 的 ， 因 为 不 需要 搜集 齐 八旗 手中 
碎片 ， 只 需要 有 儿 旗 的 就 可 以 猜 出 整个 藏 宝 图 。 译 者 注 


“R” 称 为 “ 密 钥 ” ， S@R 称 为 “ 密 文 ” 


在 密码 学 中 ， 上 文 的 “ 原 密 钥 ” 通 党 称 为 “明文 ”， 


[2] 
一 一 译 者 注 
[3] 用 这 个 方法 倒是 可 以 防止 银行 工作 人 员 卷 款 而 逃 ， 可 见 科技 的 进步 确实 可 以 改善 传统 
译 者 注 


行业 的 一 些 薄弱 环节 。 


4.4 在 线 钱 包 和 交易 所 


我 们 已 经 讨论 了 目 己 储存 和 管理 比特 币 的 不 同方 法 。 下 面 ， 我 们 
将 讨论 如 何 通过 他 人 提供 的 服务 实现 上 述 目的 。 最 直接 的 方法 是 使 用 
在 线 钱包 。 


人 在线 钱包 


在 线 钱 包 和 随身 带 的 钱包 一 样 ， 只 是 在 线 钱 包 的 信息 储存 在 云 

端 ， 你 可 以 通过 网 页 或 手机 应 用 来 读 取 。2015 年 年 初 ， 比 较 流行 的 在 

线 钱 包 服 务 是 比特 币 基 地 公司 (Coinbase) 和 区 块 链 信息 公司 
(blockchain.info) 。 


从 安全 性 的 角度 考虑 ， 最 关键 之 处 在 于 网 站 不 仅 在 你 的 浏览 吉 或 
手机 应 用 软件 (APP) 上 运行 代码 ， 而 且 ， 网 站 还 储存 着 你 的 密 钥 。 至 
少 ， 网 站 是 能 够 接触 到 你 的 密 钥 的 。 通 间 情 况 下 ， 网 站 使 用 密码 来 保 
护 密 钥 ， 而 密码 只 有 你 一 个 人 知道 。 当 然 ， 你 需要 信任 这 个 网 站 ， 相 
言 它 不 会 泄露 你 的 密 钥 或 是 密码 。 


在 线 钱包 的 一 大 优点 是 方便 。 你 不 需要 在 电脑 上 安装 任何 软件 就 
可 以 使 用 在 线 钱包 ; 在 手机 上 ， 你 只 需 安 装 一 个 手机 软件 就 可 以 使 用 
钱包 ， 而 且 ， 不 需要 下 载 区 块 链 。 在 线 钱包 可 以 在 各 种 设备 上 使 用 : 
无 论 征 个 人 电脑 还 是 手机 ， 因 为 真正 的 钱包 信息 储存 在 云端 。 


但 是 ， 在 线 钱 包 也 有 安全 隐患 。 如 果 网 站 或 者 是 网 站 工作 人 员 有 
恶意 ， 那 么 在 线 钱包 中 的 比特 币 就 有 危险。 在 线 钱包 的 服务 器 运行 着 


所 有 的 代码 ， 很 容易 守 取 你 的 比特 币 ， 在 线 钱包 服务 提供 商 如 有 恶 
意 ， 情 况 就 不 妙 了 。 


通 肖 情况 下 ， 网 站 或 者 服务 提供 商 由 训练 有 素 的 网 络 安全 专家 运 
行 。 他 们 比 我 们 更 专业 ， 所 以 我 们 会 认为 他 们 帮 我 们 保管 比特 币 会 更 
安全 。 但 归根 结 底 ， 前 提 是 专家 们 不 会 故意 摘 破 坏 。 


比特 币 交 易 所 


要 想 理解 比特 币 交 易 所 ， 我 们 先 要 讨论 一 下 传统 的 银行 是 如 何 运 
作 的 。 你 给 银行 一 笔 和 线 一 一 做 一 笔 存 丈 ， 银 行 日 后 会 按照 你 的 要 求 把 
钱 还 给 你 。 当 然 ， 银行 并 不 会 把 你 的 钱 一 直 锁 在 休 险 想 里 ， 银 行 只 厦 
答应 ， 当 你 提 丈 的 时 候 把 钱 给 你 ， 在 这 期 间 ， 银 行 通 常会 把 钱 用 于 投 
资 。 许 多 银行 会 保留 一 部 分 钱 作为 储备 金 ， 保 证 人 们 来 提 球 的 时 候 ， 
有 足够 的 现金 。 很 多 银行 通常 按 存款 的 固定 比例 来 留存 储备 金 。 


现在 来 谈 比 特 币 交易 所 。 至 少 在 用 户 使 用 的 角度 看 ， 比 特 币 交易 
所 和 银行 很 像 。 交 易 所 可 以 办 理 比特 币 存款 ， 日 后 需要 用 钱 的 时 候 ， 
可 以 到 交易 所 提 款 。 你 还 可 以 把 法 定货 币 (法 币 ) 一 一 例如 美元 、 欧 
元 等 存 到 比特 币 交 易 所 ， 交 易 所 承诺 日 后 会 按照 你 的 要 求 把 钱 一 一 比 
等 币 或 法 币 ， 或 两 疹 都 有 一 一 还 给 你 。 也 可 以 通过 交易 所 办 理 类 银行 
业务 ， 例 如 ， 用 比特 币 付款 或 收 球 。 还 可 以 通过 交易 所 把 比特 币 竞 换 
成 法 币 ， 或 把 法 币 兑 换 成 比特 币 ， 交 易 所 在 该 业务 中 通 间 起 扼 合 作 
用 ， 它 们 同时 寻找 愿意 兑换 法 定货 币 和 愿意 兑换 比特 币 的 人 ， 并 安排 
他 们 作为 交易 对 手 ， 如 果 交 易 对 手 对 于 汇率 达成 一 至 意见， 交易 所 惑 
促成 这 笔 区 易 。 


举 个 例子 ， 假 设 你 在 某 交 易 所 的 账号 里 有 5 000 美 元 和 3 个 比特 币 。 
你 想 用 580 美 元 /比特 币 的 价格 买 两 个 比特 币 ， 这 时 交易 所 帮 你 找到 交易 


对 手 并 促成 交易 。 现 在 ， 你 的 账号 里 有 5 个 比特 币 和 3 840 美 元 。 


值得 注意 的 是 ， 当 你 在 交易 所 完成 上 述 交 易 的 时 候 ， 区 块 链 上 并 
不 会 记录 任何 交易 。 交 易 所 不 需要 在 区 块 链 里 把 比特 币 从 一 个 地 址 转 
到 另 一 个 地 址 。 交 易 所 只 是 修改 了 和 你 的 合约 ， 交 易 前 ， 它 说 “我 们 日 
百 会 还 给 你 5 000 美 元 和 3 个 比特 币 。” 交 易 完成 后 ， 它 说 “我 们 日 后 会 还 
给 你 3 840 美 元 和 5 个 比特 币 。” 所 以 ， 交 易 前 后 ， 比 特 币 并 没有 真正 在 
区 块 链 中 移动 ， 只 是 你 和 银行 的 合约 变化 了 而 已 。 对 于 你 的 交易 对 手 
而 言 ， 也 是 如 此 。 


交易 所 有 优点 也 有 缺点 。 优 点 之 一 是 交易 把 比特 币 经 济 和 法 币 经 
济 相 结 合 起 来 ， 这 两 种 货币 实现 了 目 由 转换 。 如 有 果 我 账户 里 有 比特 币 
和 美元 ， 我 可 以 随心 所 欲 将 比特 币 换 成 美元 ， 或 把 美元 换 成 比特 币 ， 
这 是 相当 方便 的 。 


缺点 就 是 风险 。 区 易 所 面临 和 银行 一 样 的 风险 ， 主 要 包括 以 下 三 
大 类 风险 : 


二 类 风险 


第 一 类 风险 是 挤 兄 。 挤 部 束 古 大 家 同时 都 去 银行 提 球 。 由 于 银行 
一 般 只 保存 部 分 存款 ， 所 以 可 能 无 法 应 付 所 有 的 提 款 要 求 。 当 银行 无 
法 抑 现 的 谣言 四 起 之 时 ， 大 家 开始 念 镶 ， 然 后 更 多 人 去 银行 取 钱 ， 造 
成 朋 志 效应 。 


第 二 类 风险 旦 银行 本 吴 可 能 束 一 个 庞 氏 久 局 。 庞 氏 纪 局 的 通 利 
做法 束 古 不 断代 新 还 旧 ， 从 储户 吸收 存款 ， 管 应 日 后 提供 一 定 的 收 
得， 但 实际 上 这 笔 钱 并 没有 用 于 投资 ， 而 是 用 于 文 付 先前 储户 的 收 


得， 这 类 统 局 最 终 必 然 会 朋 溃 ， 使 人 们 损失 惨重 。2008 年 的 专 道 夫 统 
局 束 古 庞 氏 骗 局 的 最 新 案例 。 


第 三 类 风险 束 古 黑客 入 侵 。 有 人 一 一 有 的 甚至 束 古 交易 所 的 座 员 
一 一 试图 入 侵 交 易 所 的 安全 系统 。 由 于 交易 所 储存 大 量 密 钥 ， 而 这 些 
密 钥 可 以 支取 比特 币 ， 所 以 交易 所 需要 非常 小 心地 监控 软件 的 安全 性 
及 其 操作 流程 一 一 例如 ， 如 何 管理 冷 热 储存 等 。 如 果 某 个 环节 出 了 差 
错 ， 我 们 存在 交易 所 的 比特 币 束 会 被 盗 取 。 


上 述 风 险 都 实际 发 生 过 。 有 的 交易 所 因为 挤兑 而 倒闭 ， 有 的 交易 
所 因为 管理 员 的 监 守 自 盗 而 倒闭 ， 也 有 的 交易 所 因为 黑客 入 侵 而 倒 
闭 。 实 际 上 ， 统 计数 据 并 不 令 人 乐观 。2013 年 的 一 项 研究 显示 ，40 家 
比特 币 中 有 18 家 由 于 存款 到 期 无 法 兑付 或 其 他 问题 而 倒闭 。 


倒闭 的 交易 所 中 ， 最 有 名 的 就 是 门头沟 (Mt.Gox) 。 门 头 沟 曾 经 
征 世 界 上 最 大 的 比特 币 交 易 所 ， 最 后 因 存 亚 到 期 无 法 兑付 而 宣告 倒 
闭 ， 许 多 投资 者 血本 无 归 。 门 头 沟 现在 还 在 日 本 与 美国 法 院 走 破产 清 
算 程 序 ， 人 们 到 现在 都 没有 搞 清 楚 他 们 的 钱 到 克 去 了 哪里 。 我 们 只 知 
道 一 点 : 门头沟 曾经 拥有 很 多 比特 币 ， 而 现在 已 经 一 无 所 有 了 “。 这 对 
于 所 有 交易 所 都 是 一 个 警示 。 


反观 传统 银行 业 ， 并 没有 高 达 45% 的 破产 率 。 政 府 的 监管 在 其 中 发 
挥 了 重要 的 作用 。 政 府 对 银行 的 监管 主要 体现 在 以 下 方面 : 


银行 监管 


政府 首先 要 求 银行 有 一 个 最 低 准 备 金 要 求 。 在 美国 ， 银 行 随 时 要 
保留 忌 储 蓄 量 3%~10% 的 现金 来 应 付 突 发 的 提 款 请 求 。 政 府 通常 还 会 对 
银行 的 投资 类 别 以 及 资金 管理 方法 进行 监管 ， 政 府 要 求 银 行 的 资产 投 


癌 低 风险 资产 ， 因 为 这 些 钱 大 多 是 储户 的 血汗 钱 ， 而 不 十 银行 目 有 的 


YR 
所 


政府 不 仅仅 对 银行 进行 监管 ， 还 会 在 必要 时 为 银行 或 鱼 屠 者 近 供 
保护 。 首 和 匈 ， 政 府 会 提供 储 蕾 保险。 如 果 一 个 遵 纪 守 法 的 银行 破产 ， 
政府 会 偿还 储户 一 部 分 存款 。 其 次 ， 政 府 有 时 候 也 会 充当 “最 后 借款 
人 ”角色 。 如 来 银行 短期 经 营 困 难 ， 但 仍 有 一 定 的 偿 债 能 力 ， 政 府 给 银 
行 提供 贷款 ， 直 到 银行 有 足够 的 资金 周转 ， 从 而 让 银行 渡 过 难关 。 


传统 银行 的 监管 大 抵 如 此 ， 但 比特 币 交 易 所 的 监管 则 并 非 这 样 。 
比特 币 交 易 所 需 不 需要 被 监管 ， 我 们 会 在 第 7 章 讨论 。 


准备 金 证 明 


比特 币 交 易 所 或 者 其 他 提供 比特 币 管理 服务 的 机 构 ， 可 以 使 用 一 
种 称 为 “准备 金 证 明 ” (proof of reserve) 的 密码 学 技术 来 向 储户 证 明 他 
们 留存 了 一 部 分 储备 金 一 例如， 按照 储 蕾 额 的 25% 留 存 一 -从 而 消除 
投资 人 的 担心 。 


准备 金 证 明 包 括 两 方面 的 内 容 ， 肯 先是 证 明 你 有 多 少 准 备 金 。 这 
比较 容易 ， 交 易 所 只 需 发 起 一 笔 癌 自己 转账 的 交易 ， 转 账 的 金额 等 
其 公布 的 准备 金 金额 即 可 。 如 末 交 易 所 声称 留存 了 100 000 个 比特 币 作 
为 准备 金 ， 那 么 它们 会 发 起 一 笔 100 000 个 比特 币 的 转账 交易 ， 收 款 人 
束 古 交易 所 本 和 映 ， 然 后 同 客 户 说 明 这 笔 交 易 的 有 效 性 。 之 后 ， 它 们 会 
用 同一 个 私 钥 去 为 一 条 查询 指令 签名 ， 这 个 查询 指令 是 公正 的 第 三 方 
随意 发 出 的 字符 串 。 这 样 就 可 以 证 明 出 具 准 备 金 证 明 的 人 至 少 知晓 该 
私 钥 (即使 他 不 是 私 钥 的 拥有 者 ) 。 


我 们 应 注意 到 两 点 : 首先 ， 严 格 地 说 ， 谁 备 金 证 明 并 无 法 证 明 区 
易 所 真正 拥有 这 些 准备 金 ， 只 能 说 明 真 正 拥 有 这 笔 比特 币 的 人 愿意 参 
与 准备 金 证 明 的 过 程 。 换 句 话 说， 准备 金 证 明 只 是 证 明了 某 人 (交易 
所 ) 可 以 控制 这 一 笔 钱 ， 或 者 某 人 (交易 所 ) 所 熟悉 的 人 可 以 控制 这 
一 笔 线 。 其 次 ， 准 备 金 是 可 能 被 瞒 报 的， 一 个 交易 所 可 能 留存 了 150 
000 个 比特 币 的 准备 金 ， 但 只 同人 们 证 明 它 留存 了 100 000 个 比特 币 的 准 
备 金 。 因 此 ， 准 备 金 证 明 不 能 证 明 准 备 金 的 上 限 金额 ， 而 只 能 证 明 其 
下 限 金额 ， 即 证 明 某 人 (交易 所 )“ 至 少 * 有 多 少 准备 金 。 


负债 证 明 (proof of liabilities) 


目前 ， 交 易 所 只 证 明了 留存 的 准备 金 规 模 ， 为 了 证 明 准 备 金 留存 
比例 ， 还 需要 证 明 其 吸收 的 存款 规模 。 知 道 了 准备 金 规模 和 人 存款 规 
模 ， 那 么 将 这 两 个 数 相 除 就 得 到 了 准备 金 留存 比例 。 我 们 接 下 来 会 展 
示 一 种 方法 ， 可 以 确保 交易 所 不 会 瞒 报 存款 规模 (但 可 以 多 报 ) ， 这 
样 ， 由 于 交易 所 同人 们 证 明了 准备 金 “ 至 少 ” 是 多 少 ， 和 存款 规模 “至 多 ”是 
多 少 ， 这 样 ， 在 计算 准备 金 比 例 时 ， 分 子 侦 小 而 分 母 俩 大 ， 因 此 ， 我 
们 可 以 得 到 准备 金 比例 的 保守 售 计 。 


对 于 比特 币 交 易 所 而 言 ， 如 琳 不 考虑 储户 隐私 的 话 ， 可 以 将 所 有 
的 存款 记录 公布 ， 即 公布 所 有 储户 的 姓名 和 金额， 这 样 ， 人 们 就 可 以 
计算 交易 所 的 储蓄 规模 ( 即 交 易 所 的 负债 规模 ) ， 而 且 ， 如 果 交 易 所 
瞒 报 数据 ， 那 么 某 些 储户 将 发 现 目 己 并 不 在 公布 名 单 内 或 者 发 现 目 己 
的 储蓄 额 少 了 ， 这 时 ， 储 户 就 会 将 此 上 曝光， 因此 ， 交 易 所 不 可 能 瞒 报 
存 秩 规模 。 但 是， 交易 所 可 以 在 存款 记录 中 加 入 一 些 虚构 的 客户 ， 这 
样 ， 由 于 公布 的 数据 真 假 掺 和， 在 一 定 程度 上 可 以 保护 储户 的 隐私 ， 
只 是 这 么 做 会 使 交易 所 的 总 负债 被 高 佑 。 这 种 情况 下 ， 只 要 没有 收 到 
储户 投诉 其 鱼 屠 被 少 报 或 漏 报 ， 人 们 束 可 以 相信 ， 区 易 所 公布 的 负债 
规模 肯定 不 低 于 实际 的 负债 规模 。 


当然 ， 以 上 做 法 是 以 牺牲 储户 隐私 为 代价 的 。 实 际 上 ， 我 们 会 用 
梅 克 尔 树 来 证 明 存 款 规模 。 我 们 在 第 1 章 就 说 过 ， 梅 元 尔 树 就 是 一 棵 哈 
布 值 构成 的 二 又 树 ， 每 个 指针 不 仅 千 诉 我 们 去 哪里 找到 一 个 信息 ， 而 
且 还 告诉 我 们 这 个 信息 的 哈 布 值 。 交 易 所 想 要 证 明 其 人 负债， 可 以 先 构 
建 一 棵 二 叉 树 ， 二 又 树 的 每 个 时节 点 都 代表 一 个 储户 ， 如 图 4.5 所 示 
(当然 ， 这 里 也 同样 需要 储户 来 核实 目 己 是 否 在 这 棵 二 又 树 上 ) ， 之 
后 ， 我 们 还 需要 让 储户 可 以 核实 交易 所 申明 的 负债 规模 ， 要 实现 这 
点 ， 我 们 需要 为 每 个 节点 添加 一 个 字段 (下文 简 称 为 存款 金额 字 
段 ) ， 这 个 字段 显示 其 最 近 的 两 个 子 节 点 的 存款 金额 之 和 。 


ls (Gs Cy 
HGF He 
EEC) EECW Ht) HY sp) se 


储户 1 储户 2 储户 3 储户 4 储户 5 储户 6 储户 7 储户 8 
的 账户 | | 的 账户 的 账户 的 账户 | | 的 账户 | | 的 账户 的 账户 的 账户 


图 4.5 负债 证 明 
交易 所 构建 这 样 一 棵 梅 元 尔 树 ， 每 个 储户 对 应 一 个 叶 广 点 ， 每 个 叶 市 点 的 存款 金额 字段 保 
炙 户 存款 金额。 每 个 节点 的 存款 金额 字段 等 于 与 其 最 相近 的 两 个 子 节点 的 存款 金额 之 和 ， 这 
根 世 点 的 存款 金额 字段 就 代表 着 存款 总 规模 。 每 个 储户 都 可 以 要 求 交 易 所 证 明 该 储户 在 梅 
尔 树 上 ， 并 且 可 以 核实 根 节 点 所 显示 的 总 存款 规模 。 


浊 基 对 了 


交易 所 构建 完 梅 区 尔 树 之 后 ， 把 根 节 点 的 哈 希 指针 和 根 和 节点 的 存 
款 金 额 子 段 进行 加 密 签 名 ， 然 后 在 网 络 上 广播 。 根 广 点 的 存款 金额 子 
段 目 然 束 古 存 丈 忌 规模 一 一 也 就 十 我 们 最 关心 的 数据 。 此 外 ， 交 易 所 
还 需要 声明 所 有 储户 都 可 以 对 应 到 时 节点 上 ， 而 且 所 有 储户 的 存款 数 


据 都 是 正确 的 ， 并 且 每 个 父 忆 点 在 加 总 子 下 避 的 存 球 数据 时 也 没有 出 
现 兰 错 ， 因 此 ， 根 世 点 的 存款 金额 字段 正确 无 误 地 说 明了 存款 总 规 
模 。 


现在 ， 每 个 客户 都 可 以 同 交 易 所 索取 存款 证 明 ， 交 易 所 也 必须 癌 
储户 出 具 相 应 证 明 。 这 种 证 明 实 际 上 束 是 一 柠 包 侣 该 客户 所 对 应 的 季 
点 的 子 树 ， 子 树 应 包括 根 节 点 和 时节 点 ， 如 图 4.6 所 示 ， 之 后 ， 客 户 可 
以 核实 以 下 几 操 : 


1. 子 树 根 市 后 的 哈 希 指针 和 存 球 金 额 子 段 ， 与 交易 所 广播 的 值 一 
到 


2. 从 于 树 的 根 太后 表 历 到 时节 后 ， 每 个 太太 对 应 的 哈 希 值 确实 
所 指 癌 的 子 节 后 的 哈 希 值 。 


3. 每 个 叶 节 点 对 应 的 客户 账号 信息 (客户 名 、 账 号 和 存款 金额 ) 都 
是 正确 无 误 的 。 


4. 每 个 市 反 的 存款 金额 字段 正好 等 于 与 其 最 相近 的 子 方 上 所 的 存款 金 
额 之 和 。 


图 4.6 以 梅 元 尔 树 ( 子 树 ) 的 形式 提供 存款 证 明 
注 : 子 树 包 含 叶 节点 、 根 节点 和 之 间 的 所 有 子 节 点 及 其 兄弟 节点 。 


上 述 做 法 的 优点 在 于 ， 二 又 树 的 每 个 分 文 都 会 被 再 历 一 届 ， 而 
且 ， 总 有 人 会 核实 每 个 节点 的 存 舱 金额 字段 恰恰 等 于 与 其 相 邻 的 两 个 
子 节 点 的 存款 金额 之 和 。 关 键 的 是 ， 不 同 的 客户 获得 的 子 树 中 ， 如 果 
有 相同 的 万 点 ， 那 么 这 些 和 点 的 哈 硕 值 以 及 存 亚 金额 字段 也 必定 是 相 
同 的 ， 否 则 就 会 产生 哈 希 碰撞 (hash collision ) 


我 们 总 结 一 下 。 甫 先 ， 交 易 所 为 了 证 明 其 留存 了 X 比 特 币 的 准备 
金 ， 发 起 了 一 笔 癌 日 己 转 账 的 交易 ， 转 账 金额 为 X 个 比特 币 ， 并 且 在 网 
络 上 广播 这 笔 交 易 。 之 后 ， 交 易 所 证 明 其 吸收 的 存款 规模 不 少 于 Y 比 特 
币 。 这 样 ， 我 们 就 知道 这 个 交易 所 的 准备 金 比例 至 少 是 X/Y。 这 意味 
看 ， 如 果 一 个 比特 币 交 易 所 想 癌 人 们 证 明 目 己 的 准备 金 比 例 是 259%， 可 
以 通过 上 壕 方 法 让 所 有 人 都 可 能 对 此 进行 独立 审计 ， 而 不 是 依靠 中 央 
权威 机 构 来 验证 。 


你 也 许 发 现 了 上 述 两 种 方法 (存款 证 明和 人 负债 证 明 ) 泄露 了 很 多 
私密 信息 ， 其 中 包括 很 多 敏感 信息 ， 例 如 交易 所 使 用 的 账户 、 存 球 准 


备 金 总 规模 以 及 交易 所 总 负 俩 规模 ， 甚 至 是 储户 的 个 人 账 记 余额 等 。 
实际 上 ， 交 易 所 并 不 愿意 公布 这 些 信息 ， 因 此 在 实际 应 用 中 ， 存 款 准 
备 金 证 明 用 得 很 少 。 


最 近 推 出 的 一 个 被 称 为 “准备 金 ”(provision) 的 协议 ， 也 可 以 提供 
兰 付 能 力 证 明 ， 而 且 不 需要 披露 总 负债 和 总 的 存款 准备 金 规模 ， 也 不 
需要 披露 正在 使 用 的 账户 地 址 。 该 协议 使 用 的 加 密 技术 更 加 先进 ， 在 
此 不 深入 讨论 。 但 是 这 个 技术 叉 一 次 证 明 ， 加 密 技 术 能 够 帮助 保护 隐 
私 。 


Se 


兰 付 能 力 是 一 项 可 以 执行 的 监管 措施 〈 比 特 币 交易 所 可 以 目 主 选 
择 遵 守 ) ， 其 他 方面 的 监管 措施 则 更 难 执行 ， 请 参见 第 7 章 。 


4.5 支付 服务 


到 目前 为 止 ， 我们 讨论 了 如 何 存储 和 管理 比特 币 。 现 在 我 们 来 讨 
论 一 下 商户 一 一 无 论 古 电 商 还 是 实体 店 一 一 如 何 接受 比特 币 付款 。 通 
常 ， 商 户 接 受 比 特 币 付款 只 是 为 了 满足 客户 使 用 比特 币 文 付 的 需求 ， 
其 实 商户 并 不 愿意 持 有 比特 币 ， 因 此 他 们 需要 快速 地 把 比特 币 换 成 法 
币 。 对 于 商户 来 说 ， 他 们 而 望 这 个 过 程 一 一 收 称 和 兑换 一 一 可 以 尽 可 
能 简便 地 实现 ， 最 好 是 不 需要 了 解 太 多 技术 细节 。 例 如 ， 不 需要 对 他 
们 现 有 的 网 站 大 动 干戈 ， 或 重新 购置 文 付 设备 。 


商户 还 硕 望 整个 过 程 是 低 风险 的 。 实 际 上 ， 商 户 接受 比特 币 付 款 
可 能 面 量 多 种 风险 。 例 如 ， 使 用 新 技术 可 能 使 他 们 的 网 站 朋 汝 而 造成 
损失 ;使 用 比特 币 还 可 能 存在 安全 风险 ， 黑客 可 能 攻破 商户 的 在 线 钱 
包 ， 或 者 雇员 可 能 携 比特 币 潜逃 ， 最后， 比特 币 还 可 能 有 汇率 风险 
一 一 比特 币 的 汇率 随时 间 流 动 很 大 。 对 一 个 商户 而 言 ， 如 果 他 的 比 院 
定价 是 12 美 元 ， 那 么 每 卖 出 一 张 比 院 ， 商 户 希 望 收 到 的 钱 是 12 美 元 ， 
如 果 他 接受 比特 币 付款 ， 那 么 他 会 希望 比特 币 的 价格 不 要 出 现 太 大 的 
波动 ， 他 要 保证 所 收 到 的 比特 币 能 兑换 回来 12 美 元 。 


支付 服务 商 就 在 这 种 背景 下 发 展 起 来 了 ， 可 以 同时 满足 客户 和 商 
户 的 需求 。 


站 在 商户 的 角度 ， 客 户 用 比特 币 支付 的 整个 流程 如 下 : 
1. 商 户 登 录 支 付 服务 网 站 ， 如 图 4.7 所 示 (图 来 自 比特 币 基地 公司 


的 网 站 界面 ， 译 者 翻译 ) ， 按 照 网 站 的 要 求 ， 填 写 商品 名 称 、 数 量 、 
商品 描述 、 收 款 账 刻 等 信息 。 


选择 使 用 比特 币 支 付 ， 或 观看 每 种 支付 方法 的 示例 。 
类 型 @ 按 钮 ”oo 托管 网 页 oiFrame oO 电邮 发 票 
支付 方式 @ 现在 支付 o 捐赠、 o 订阅 


按钮 类 型 @ | ”使 用 比特 币 支 付 而 o 使 用 比特 币 支 付 侨 


事 使 用 比特 币 支 付 下 使 用 比特 币 支付 


商品 名 称 | Alpaca Socks 数量 | BTC ;| 0.00 


商品 描述 | The ultimate in lightweight footwear 


支付 给 | My Wallet (0.00 BTC ) 4 
显示 更 多 选项 


生成 按钮 代码 


图 4.7 生成 比特 币 支 付 按钮 的 软件 界面 示例 
人 商户 可 以 轻松 生成 一 段 网 页 代码 ， 直 接 巷 入 商户 的 现 有 网 页 
H 可 使 


2. 文 付 服务 商 网 站 会 根据 商户 所 填 的 内 容 ， 生 产 HTML 代 码 ， 商 家 
可 以 直接 将 代码 添加 到 现 有 网 页 代码 中 ， 这 时 ， 网 页 中 丈 会 出 现 一 个 
文 付 按钮 。 


3. 客 户 在 商户 网 站 上 点 击 文 付 按钮 ， 后 台 就 会 执行 整个 流程 ， 最 后 
商户 会 收 到 确认 信息 : 0 文 付 了 [金额 ]”。 


这 种 手动 添加 按钮 的 做 法 ， 只 适用 于 只 卖 一 两 个 物品 的 小 网 站 ， 
或 用 于 接受 捐赠 的 网 站 ， 对 于 大 型 的 购物 网 站 ， 手 动 复制 粘贴 成 十 上 


万 次 代码 显然 是 不 现实 的 。 因 此 ， 文 付 服务 商 网 站 也 提供 可 编程 的 界 
面 来 为 动态 页 面 添 加 文 付 按钮 。 


现在 ， 我 们 来 看 一 看 ， 当 客户 使 用 比特 币 进行 网 购 时 ， 整 个 付款 
流程 的 细 市 是 怎么 样 的 (下面 所 说 的 步 又 ， 正 是 图 4.8 描 述 的 流程 ，。 


(5 ) 确认 < 交易 ID ， 金 额 > 支付 
服务 商 


图 4.8 客户 、 商 户 和 文 付 服务 商 的 交互 流程 


1. 客 户 在 购物 网 站 上 挑选 了 一 个 商品 ， 当 他 打算 付款 的 时 候 ， 会 跳 
转 到 一 个 付款 页 面 ， 页 面 上 有 “用 比特 币 支 付 ” 的 按钮 《通过 藤 入 支付 服 
务 商 提 供 的 HTML 代 码 实 现 ) ， 此 外 ， 页 面 上 还 会 显示 一 个 交易 ID ( 便 
于 商户 记 账 ) 和 金额 。 


2. 如 有 客户 想 用 比特 币 文 付 ， 束 会 点 击 对 应 的 文 付 按钮 ， 这 时 ， 网 
页 会 向 支付 服务 商 发 送 一 个 HITPS 请 求 ， 告 诉 文 付 服务 商 现在 有 个 客 
户 想 用 比特 币 文 付 ， 网 页 还 会 同文 付 服务 商 传送 商家 ID、 区 易 ID、 人 金 
额 等 数据 。 


3. 文 付 服务 商 收 到 数据 之 后 ， 知 道 有 客户 一 一 无 论 他 是 谁 一 一 想 妥 
支付 一 定金 额 的 比特 币 ， 这 时 ， 网 页 会 弹出 一 个 窗口 ， 提 示 客 户 付款 
流程 ， 客 户 根据 提示 发 起 一 笔 转账 申请 ， 从 他 的 钱包 中 转移 一 部 分 比 
等 币 给 文 付 服务 商 。 


4. 客 户 付 款 后 ， 网 站 会 重新 跳 转 到 商户 页 面 ， 并 提示 付款 流程 正 
角 。 这 意味 着 文 付 服务 商 在 比特 币 网 络 上 收 到 了 这 笔 区 易 的 广播 ， 但 
这 个 交易 还 没有 通过 足够 多 节点 的 核验 。 从 客户 角度 来 讲 ， 他 已 经 完 
成 文 付 ， 但 从 商户 的 角度 讲 ， 还 需要 等 待 文 付 服务 商 的 确认 才 可 发 
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5. 最 后 ， 文 付 服务 商会 直接 向 商家 发 送 付 款 和 凭证 (交易 ID 和 金 
额 )， 这 表示 支付 服务 商 承 诺 会 支付 这 笔 钱 给 商户 ， 这 时 商户 才 开 始 


a O 


交 


整个 文 付 服务 的 最 后 一 个 环节 征文 付 服务 商 辐 商户 结算 并 付 秩 
将 相应 金额 的 美元 或 其 他 货币 直接 转 到 商户 的 银行 账号 。 结 蒜 频 
率 可 能 是 每 日 数 次 或 每 日 一 次 ， 但 不 会 每 笔 区 易 都 结算 一 次 。 文 付 服 
务 商 会 按 比 例 收 取 服 务 费 用 ， 这 束 是 文 付 服务 商 的 盘 利 模式 。 不 同 的 
文 付 服务 商 ， 上 述 流程 细节 可 能 有 所 不 同 ， 但 大 抵 相 似 。 


简单 总 结 一 下 ， 通 过 文 付 服务 商 的 服务 ， 客 户 可 以 用 比特 币 购 
物 ， 商 户 如 期 收 到 类 元 ， 文 付 服务 商 获 得 手续 费 ， 缘 大 欢喜 。 对 商户 
来 说 ， 他 只 关心 销售 物品 ， 收 回 美 元 或 其 他 通行 的 货币 ， 中 间 的 一 切 
环节 由 文 付 服 务 商 打 理 : 收取 客户 的 比特 币 ， 并 兑换 成 货币 给 商户 。 


关键 的 是 ， 在 整个 过 程 中 ， 文 付 服务 商 承 担 了 所 有 风险 。 首 先 ， 
它 承担 了 安全 风险 ， 所 以 需要 好 的 安全 措施 来 管理 比特 币 ， 其 次 ， 它 
承担 了 汇率 风险 ， 它 收取 比特 币 然 后 支付 美元 ， 如 果 美 元 兑 比特 币 的 
汇率 波动 太 大 ， 文 付 服务 商 可 能 会 遭受 损失 ， 但 如 采 汇 率 往 有 利 的 方 


癌 波 动 ， 也 可 能 大 赚 一 笔 。 支 付 服务 商 的 商业 模式 决定 了 它 必须 承担 
风险 。 


需要 注意 的 是 ， 文 付 服务 商 的 资金 流动 很 大 ， 它 收取 大 量 的 比特 
币 ， 然 后 付出 大 量 的 美元 。 因 此 ， 支 付 服务 商 自然 就 成 为 交易 所 的 活 
路 成 员 一 一 通过 交易 所 才能 实现 法 定货 币 与 比特 币 的 通 部 。 对 于 文 付 
服务 商 而 言 ， 不 仅 需 要 考虑 比特 币 的 汇率 问题 ， 也 要 考虑 如 何 进行 巨 
额 苋 换 。 当 然 ， 如 果 一 个 文 付 服务 商 解决 了 这 些 问题 ， 束 可 以 解决 容 
户 想 付 比特 币 而 商户 想 收 美元 的 矛盾 ， 为 此 ,支付 服务 商 从 每 笔 灾 易 
中 收取 的 手续 费 有 可 能 使 其 实现 相当 可 观 的 利润 。 


4.6 交易 费 


前 面 的 章节 中 已 经 提 到 过 交易 费 ， 以 后 的 章节 也 会 陆续 所 到 。 本 
章 主要 讨论 在 比特 币 系统 中 ， 交 易 费 是 如 何 设 定 的 。 


当 一 笔 交 易 被 纳入 比特 币 区 块 链 的 时 候 ， 束 可 能 文 付 了 一 笔 交 易 
费 。 前 面 章节 提 到 ， 交 易 费 是 比特 币 交 易 中 输 入 金额 (付款 方 文 付 的 
比特 币 ) 和 输出 金额 ( 收 蒜 方 收取 的 比特 币 ) 之 间 的 差额 一 一 输入 金 
颌 必须 不 少 于 输出 金额 ， 否 则 交易 无 法 完成 ， 如 有 果 交 易 的 输入 金额 大 
于 输出 金额 ， 那 么 这 个 差额 束 是 交易 费 。 交 易 费 由 将 该 交易 打包 进 菏 
个 区 块 的 矿工 获得 。 


交易 费 的 经 济 学 意义 非常 有 趣 ， 也 非常 复杂 。 而 且 交 易 费 的 设 定 
细节 随时 间 变 化 而 不 断 变 化 ， 我 们 在 这 里 把 时 间 框 定 在 2015 年 年 初 ， 
讨论 交易 费 在 那个 时 点 是 如 何 设 定 并 运作 的 。 我 们 也 会 在 本 万 末尾 简 
单 叙 述 一 下 当前 的 情况 。 


交易 费 为 什么 存在 ? 原因 是 在 比特 币 网 络 中 传播 你 的 交易 信息 是 
需要 成 本 的 一 一 每 个 节点 传播 交易 信息 ， 最 后 由 一 个 矿工 把 这 笔 区 易 
打包 进 一 个 区 块 ， 这 些 都 有 代价 。 举 个 例子 ， 如 采 一 个 矿工 将 你 的 交 
易 打包 进 他 的 区 块 ， 那 么 这 个 区 块 吏 会 比 其 他 区 块 大 一 点 点 ， 也 会 伦 
费 更 多 的 时 间 传 输 到 其 他 节点 ， 这 样 ， 这 个 区 块 变 成 孤 块 的 可 能 性 束 
会 提高 ， 原 因 古 在 这 一 小 段 时 间 中 ， 别 的 矿工 也 许 刚好 完成 了 区 块 打 
春运 


不 论 是 对 于 节点 的 传播 还 是 对 于 矿工 而 言 ， 确 认 你 的 交易 都 需要 
花费 代价 ， 交 易 费 便 用 来 补偿 矿工 处 理 交 易 所 付出 的 代价 。 克 点 通常 
并 不 收取 费用 ， 当 然 ， 市 点 的 运行 成 本 也 比 矿工 的 运行 成 本 低 许 多 。 


交易 费 的 金额 可 以 由 发 起 交易 的 人 目 由 设 定 ， 也 可 以 不 设 定 交 易 费 。 
通常 来 讲 ， 如 果 你 文 付 了 较 高 的 交易 费 ， 则 交易 将 被 更 快 、 更 可 靠 地 
传播 和 记录 。 


为 了 说 明 矿工 如 何 设 定 交易 费用 ， 我 们 现在 来 看 一 下 默认 的 交易 
费 政策 。 但 需要 注意 ;首先 ， 下 文秘 述 的 交易 费 政 策 基于 2015 年 发 布 
的 现行 第 0.10.0 版 本 ， 在 后 续 版 本 中 ， 交 易 费 政策 可 能 不 同 ; 其 次 ， 设 
置 默 认 交 易 费 的 动机 是 为 了 防止 区 块 链 被 大 量 小 额 交 易 所 “污染 ”"， 而 
并 不 是 想 准 确 地 评估 矿工 处 理 交 易 的 成 本 。 


当然 ， 矿 工 无 须 遵 守 默 认 的 交易 费 政策 。 在 2015 年 ， 交 易 费 在 矿 
工 收 入 中 的 占 比 不 到 1%， 因 此 ， 大 部 分 矿工 是 遵循 默认 交易 费 政策 
的 。 但 随 着 挖 矿 奖励 的 降低 ， 交 易 费 在 矿工 收入 中 的 占 比 会 越 来 越 
高 ， 我 们 可 以 预测 ， 将 会 有 越 来 越 多 的 矿工 不 再 遵守 默认 的 交易 费 政 


现在 大 部 分 矿工 所 上 默 认 的 交易 费 是 这 样 计算 的 ， 首先 ， 如 有 果 奖 易 
满足 以 下 三 个 条 件 ， 那 就 不 需要 文 付 交 易 费 : 


1. 交 易 小 于 1 000 个 字 节 。 
2. 所 有 输出 为 0.01BTC 或 更 大 。 
3. 优 先 权 足够 高 。 


优先 权 是 这 样 定 义 的 : (所 有 输入 的 账 龄 的 总 和 x 输入 金额 ，/ 交 
易 规 模 。 也 束 是 说 ， 先 明确 交易 的 输入 所 对 应 的 上 一 笔 交 易 ， 把 每 笔 
交易 的 账 龄 (交易 完成 到 现在 所 经 过 的 时 间 ) 及 输入 金额 相 乘 ， 然 后 
把 乘积 相 加 ， 束 得 到 了 优先 权 效 据 。 注 意 ， 某 笔 交 易 的 输出 越 长 时 间 
没有 被 消费 挥 ， 账 龄 束 越 高 ， 那 么 ， 它 被 文 付 时 ， 交 易 的 优先 权 整 越 
大 。 


如 果 一 笔 交 易 满 足 了 上 述 三 点 要 求 ， 这 笔 交 易 会 被 传播 ， 最 后 会 
被 纳入 区 块 链 ， 这 个 过 程 是 免费 的 。 否 则 ， 交 易 就 会 被 收取 费用 ， 当 
前 默认 标准 是 : 每 1000 个 字 太 需要 支付 0.0001 BTC， 在 2015 年 ， 这 相 
当 于 每 1 000 个 字 节 花费 1 美 分 的 交易 费 ， 一 笔 交 易 通 常 包 括 : 输入 通 
常 是 148 个 字 节 ， 每 个 输出 通常 是 34 个 字 节 ， 其 他 信息 10 个 字 节 。 如 果 
一 笔 交 易 有 两 个 输入 和 两 个 输出 ， 那 么 这 笔 交 易 的 大 小 是 400 个 字 节 。 


如 条 一 笔 区 易 没 有 满足 上 述 要 求 ， 它 也 有 可 能 会 被 纳入 区 块 链 ， 
但 如 果 你 想 有 要 一 笔 交 易 锌 更 快 、 更 有 保证 地 纳入 区 块 链 ， 那 么 束 需 要 
文 付 一 笔 标 准 的 费用 。 因 此 ， 大 部 分 钱包 软件 和 文 付 服务 商 在 它们 的 
文 付 流 程 中 ， 都 包含 了 标准 的 交易 费用 ， 在 日 闻 比 特 币 交 易 过 程 中 ， 
你 会 发 现 你 文 付 了 一 定 的 交易 费用 。 


当前 ， 大 多 数 的 矿工 会 强制 要 求 交 易 必 须 包 含 交 易 费 ， 这 意味 着 
他 们 不 会 去 处 理 那 些 没 有 付 交 易 费 的 交易 (或 者 最 后 处 理 ) 。 当 然 也 
有 些 矿 工 没 有 这 么 做 ， 他 们 愿意 接受 很 少 的 交易 费用 甚至 免费 。 


4.7 货币 兑换 市 场 


这 里 所 说 的 货币 兑换 市 场 是 用 比特 币 来 交易 闫 元 或 是 欧元 。 虽 然 
前 面谈 到 的 文 付 服务 也 能 做 到 这 一 点 ， 但 这 里 讨论 的 是 整个 货币 苋 换 
市 场 ， 包 括 市 场 规模 、 分 布 、 如何 运转 ， 以 及 与 这 个 市 场 相关 的 经 济 
学 原理 。 


首先 ， 比 特 币 兑换 市 场 的 运作 和 法 币 兑换 市 场 的 运作 很 相似 。 货 
币 郊 换 价 格 的 涨 跌 取 决 于 人 们 买 入 美元 或 欧元 的 需求 。 在 比特 币 世 界 
里 ， 有 不 少 网 站 (例如 bitcoincharts.com) 可 以 告诉 你 比特 币 与 不 同 贷 
币 之 间 的 汇率 。 


在 这 个 网 站 上 ， 可 以 看 到 有 很 多 交易 正在 进行 ， 汇 率 也 持续 在 发 
生 波 动 。 比 特 币 市 场 具 有 高 度 的 流动 性 ， 你 可 以 在 很 多 场所 兑换 比特 
币 。2015 年 3 月 ，Bitfinex 《最 大 的 比特 币 和 美元 兑换 交易 所 ) 的 每 日 
交易 量 大 约 是 70 000 比 特 币 ， 或 是 2 100 万 美元 。 


当然 ， 人 们 也 通过 当面 交易 的 方式 兑换 比特 币 。 有 许多 网 站 提供 
这 种 服务 ， 举 个 例子 ， 在 localbitcoins.com, 你 可 以 告诉 别人 你 的 位 置 ， 
然后 告诉 大 家 想 以 什么 样 的 价格 购买 多 少 比特 币 ， 之 后 ， 网 站 会 告诉 
你 当地 有 多 少 人 愿意 在 约定 的 地 点 出 售 比 特 币 ， 还 会 告诉 你 他 们 出 售 
比特 币 的 数量 和 价格 。 这 样 ， 你 就 可 以 联系 他 们 ， 约 在 一 个 咖啡 馅 或 
公园 ， 或 者 其 他 什么 地 方 进行 交易 支付 美元 购买 比特 币 。 对 于 小 
的 交易 ， 在 交易 完成 之 后 ， 你 们 只 需 等 待 一 小 段 时 间 ， 交 易 便 可 以 在 
区 块 链 上 被 确认 。 


交易 详 得 越 来 越 频 粽 ， 人 们 开始 定期 在 固定 地 点 磁 尖 ， 进 行 比特 
币 交 易 。 例 如 ， 你 可 以 在 固定 的 地 点 ， 去 某 个 公园 、 街 角 或 者 咖啡 


店 ， 大 家 都 在 那里 育 会 ， 进 行 比特 币 的 买卖 交易 。 有 很 多 人 喜欢 这 样 
的 线 下 交易 ， 与 交易 所 在 线 交 易 相 比 ， 线 下 交易 可 以 保护 用 户 的 个 人 
隐私 ， 而 根据 银行 的 监管 要 求 ， 人 人 们 在 交易 所 开户 需要 提供 里 份 证 
明 ， 无 法 实现 匿名 。 我 们 将 在 第 7 章 中 对 此 展开 讨论 。 


供给 和 需求 


下 像 其 他 市 场 一 样 ， 比 特 币 交易 所 氢 合 买 家 与 卖家 。 交 易 所 古 一 
个 相当 大 的 市 场 ， 每 天 的 交易 量 痢 在 数 百 万 美元 的 规模 。 当 然 ， 它 还 
比 不 上 纽 交 所 或 是 能 和 美元 /欧元 外 汇市 场 相提并论 ， 但 它 也 成 了 一 害 
的 气候 ， 而 且 比 特 币 兑换 也 形成 了 公允 市 场 价格 。 一 个 交易 员 想 在 区 
易 所 买卖 比特 币 ， 总 是 可 以 找到 交易 对 手 一 一 全 少 在 交易 额 不 太 巨 大 
的 情况 下 如 此 。 


和 任何 一 个 其 他 流动 的 市 场 相似 ， 比 特 币 市 场 中 的 公允 价格 是 由 
供给 和 需求 决定 的 。 供 给 是 指 比特 币 的 供给 ， 即 可 能 被 出 售 的 比特 币 
的 量 ， 需 求 是 指 人 们 对 比特 币 的 需求 ， 他 们 持 有 美元 ， 想 购买 比特 
币 。 通 过 市 场 的 供给 和 需求 机 制 ， 比 特 币 的 价格 会 被 设 定 为 一 个 价 
格 ， 在 这 个 价格 下 ， 比 特 币 的 供给 和 需求 刚好 相等 。 我 们 稍微 讨论 一 
证 姗 六 


比特 币 的 供给 是 多 少 呢 ?供给 就 是 指 入 们 可 能 买 到 的 比特 币 数 
量 ， 也 束 是 整个 市 场 中 正在 流通 的 比特 币 数量 ， 这 个 数值 是 固定 的 ， 
在 2015 年 年 末 ， 这 个 数值 是 1 500 万 ， 根 据 比 特 币 的 设计 ， 比 特 币 数量 
将 缓慢 上 升 ， 最终 达 到 2 100 万 的 上 限 。 


在 考虑 比特 币 供 给 的 时 候 ， 也 可 以 将 活期 存款 考虑 在 内 。 如 果 人 
们 在 交易 所 存 入 比特 币 ， 而 交易 所 并 没有 全 额 提取 准备 金 ， 那 么 实际 
上 ， 活 期 存款 总 量 实际 上 超出 了 交易 所 实际 留存 的 比特 币 数量 。 


把 活期 存款 算 在 比特 币 总 供应 量 里 是 否 正确 ， 取 决 于 我 们 如 何 定 
义 总 供应 量 。 如 时 在 我 们 所 分 析 的 市 场 中 ， 活 期 存款 可 以 被 出 售 ， 例 
如 ， 如 有 宁 人 们 可 以 用 比特 币 存 款 兑 换 美 元 ， 而 且 ， 人 们 有 要求 提取 活期 
存款 时 可 以 要 求 交 易 所 文 付 美 元 ， 则 活期 存款 应 该 被 记 入 比特 币 总 供 


应 量 。 


值得 注意 的 是 ， 通 常情 况 下 ， 当 经 济 学 家 谈 到 法 定货 币 的 供应 量 
的 时 候 ， 他 们 其 实 也 包括 了 活期 存款 ， 而 不 仅仅 计算 市 场 上 流通 的 货 
币 《 即 流动 的 纸币 和 硬币 ) ， 原 因 是 人 们 也 使 用 活期 存款 来 购买 商 
品 。 所 以 ， 当 我 们 说 一 个 市 场 上 比特 币 的 供应 量 固 定 在 1 500 万 或 者 最 
终 增加 到 2 100 万 时 ， 我 们 需要 把 那些 可 以 等 同 于 现金 使 用 的 活期 存款 
也 考虑 进来 ， 因 此 ， 比 特 币 的 供应 量 和 某 些 比特 币 专 家 所 声称 的 数量 
可 能 不 同 。 我 们 要 针对 特定 的 市 场 情 况 来 讨论 比特 币 的 供应 量 到 奈 古 
多 少 。 所 以 ， 我 们 后 面 讨论 比特 币 供应 量 的 时 候 ， 实 际 上 都 是 针对 我 
们 所 分 析 的 特定 市 场 而 言 的 。 


现在 我 们 再 来 看 一 看 需求 。 比 特 币 的 需求 可 以 分 为 两 类 ， 一 类 是 
将 比特 币 作 为 支付 中 介 ， 另 一 关 则 是 投资 需求 


第 一 ， 我 们 讨论 作为 支付 中 介 的 比特 币 。 想 象 一 下 ， 爱 丽 丝 想 从 
鲍 劲 处 购买 某 个 商品 ， 而 且 硕 望 用 比特 币 来 文 付 (假定 爱丽 丝 和 鲍 孝 
其 实 也 可 以 用 美元 支付 ， 但 他 们 发 现 用 比特 币 支付 更 方便 ) 。 我 们 再 
假定 爱丽 丝 和 鲍 动 都 不 想 长 期 挂 有 比特 币 ， 所 以 ， 爱 丽 丝 首 先 会 用 类 
元 兄 换 一 些 比 特 币 用 于 支付 ， 鲍 动 收 到 比特 币 之 后 ， 会 再 将 比特 币 竞 
换 成 美元 。 这 个 例子 的 关键 在 于 ， 用 于 文 付 的 这 部 分 比特 币 实际 上 短 
暂 地 退出 了 比特 币 流 通体 系 。 这 束 产 生 了 比特 币 的 需求 。 


第 二 个 需求 古 投 资 需求 。 有 人 想 购买 比特 币 并 长 期 挂 有 ， 等 价格 
上 涨 之 后 卖 挤 。 当 人 们 购买 比特 币 并 长 期 持 有 了 时， 这些 比特 币 也 束 不 
再 流通 。 当 比特 币 价格 很 低 的 时 候 ， 大 家 都 会 想 买 进 比 特 币 用 来 投 
次， 而 当 价 格 很 高 的 时 候 ， 需 求 则 不 会 很 高 。 


一 个 简单 的 市 场 行为 模型 


我 们 现在 做 一 个 简单 的 经 济 学 建 模 来 理解 这 些 市 场 行为 。 我 们 不 
会 推演 整个 模型 (尽管 推演 过 程 很 有 意思 ) ， 而 是 将 着 重 讨论 比特 币 
交换 需求 对 比特 币 价格 的 影响 。 


我 们 先 假设 一 些 参 数 。T 和 是 指 市 场 中 所 有 参与 者 用 比特 币 进行 文 
付 的 总 交易 量 ， 该 数值 用 每 秒 钟 发 生 的 交易 量 (美元 来 计量 ， 我 们 
假定 人 们 在 进行 文 付 的 时 候 ， 也 总 是 想 着 比特 币 的 美元 价值 ， 这 样 会 
简化 问题 。 这 样 ， 我 们 束 可 以 用 美元 来 衡量 每 秒 钟 的 总 交易 量 。D 有 是 
指 比特 币 用 于 文 付 时 ， 和 暂时 退出 流通 体系 的 这 段 时 间 长 度 一 一 从 付款 
者 严 入 比特 币 开始 到 收 区 人 将 比特 币 竞 换 回 市 场 为 上 上， 以 秒 计 算 。S 是 
人 们 可 以 买 到 的 比特 币 尽量 ， 等 于 比特 币 总 量 一 一 目前 是 1 500 万 左右 
(未 来 会 增加 到 2 100 万 左右 ) 减 去 人 们 打算 长 期 持 有 的 比特 币 数 
量 ， 也 就 古 在 市 场 上 流通 的 、 可 以 随时 买卖 的 比特 币 辟 量 。 最 后 ，P 是 
比特 币 对 美元 的 价格 。 


现在 我 们 可 以 做 一 些 计 算 。 首 先 ， 我 们 要 计算 一 下 每 秒 钟 有 多 少 
比特 币 可 以 被 用 来 做 交易 。 在 D 秒 内 ， 市 面 上 有 S 个 比特 可 以 用 于 交 
易 ， 所 以 每 秒 钟 有 SmD 的 比特 币 重 新 进入 流通 体系 ， 可 以 用 于 文 付 。 这 
征 供应 侧 的 数据 。 


在 需求 侧 ( 指 每 秒 钟 所 需 的 用 于 支付 交易 的 比特 币 数量 ) ， 我 们 
总 共 的 支付 交易 规模 是 IT 美元， 而 每 美元 对 应 的 交易 ， 我 们 需要 1/P 个 
比特 币 来 完成 。 所 以 ，T/P 就 是 我 们 每 秒 钟 所 需 的 用 于 支付 交易 的 比特 
币 数量 。 


在 特定 的 某 秒 钟 内 ， 供 应 是 SSD， 需 求 是 IT/P。 和 其 他 市 场 一 样 ， 
价格 会 根据 供需 关系 达到 平衡 。 如 果 供 应 大 于 需求 ， 有 些 比 特 币 就 卖 


不 出 去 ， 出 售 的 一 方 不 得 不 降价 出 售 。 同样 地 ， 根 据 我 们 T/P 的 需求 公 
式 ， 当 价格 下 降 后 ， 需 求 增 加 ， 供 应 与 需求 会 再 次 达到 平衡 。 


另 一 个 方面 ， 如 采 供 应 小 于 需求 ， 这 意味 着 有 些 人 想 购 买 比 特 币 
用 于 支付， 但 是 天 不 到 ， 这 些 人 束 必 须 出 更 高 的 价格 来 购买 ， 而 当 价 
格 升 高 后 ， 需 求 束 会 下 降 ， 供 应 与 需求 也 会 再 次 达到 平衡 。 所 以 我 们 
可 以 得 到 以 下 公式 : 


S/D=T/P 
从 中 我 们 可 以 推算 出 价格 的 公式 : 


Pe 
S 


这 个 公式 说 明 什么 ? 我 们 可 以 将 其 更 加 简化 : 我 们 假设 D (也 就 
是 比特 币 用 于 支付 时 ， 和 暂时 退出 流通 体系 的 这 段 时间 长 度 ) 不 变 ， 人 
们 可 以 买 到 的 比特 币 总 量 S 也 不 变 ， 或 至 少 变化 的 速度 很 缓慢。 这 意味 
着 价格 P 和 需求 T 是 成 正比 的 。 所 以 ， 如 果 需 求 翻 倍 ， 比 特 币 价格 也 会 
翻 倍 。 我 们 可 以 根据 比特 币 的 实际 价格 以 及 我 们 估计 的 需求 量 做 图 ， 
看 看 价格 和 需求 的 天 系 是 否 真 的 和 我 们 所 预测 的 一 样 。 经 济 学 家 们 已 
Sa SE 


请 注意 ，S (人 们 可 以 买 到 的 比特 币 总 量 ) 并 不 包含 那些 用 于 投资 
而 被 长 期 持 有 的 比特 币 。 所 以 如 采 越 来 越 多 人 购买 比特 币 用 于 长 期 投 
资 ， 则 S 会 下 降 ， 根 据 上 面 的 公式 ，P 会 上 涨 。 这 很 容易 理解 ， 当 持 有 
比特 币 作 为 长 期 投资 的 人 增多 ， 用 于 文 付 中 介 的 比特 币 的 价格 目 然 上 
涨 。 


这 并 不 是 一 个 完整 的 市 场 模型 。 一 个 真正 的 市 场 模型 还 必须 考虑 
投资 者 的 心理 活动 ， 如 琳 投 资 者 相信 比特 币 价格 会 上 涨 ， 他 们 对 比特 


币 的 需求 束 升 高 。 这 束 古 我 们 所 说 的 投资 者 预期 ， 加 入 投资 者 预期 
后 ， 模 型 会 变 得 很 复 洒 ， 我 们 在 这 里 不 展开 讨论 。 


总 之 ， 存 在 比特 币 和 美元 、 比 特 币 和 其 他 货币 的 兑换 市 场 。 这 些 
市 场 有 足够 的 流动 性 ， 你 可 以 兑换 或 买卖 比特 币 ， 这 种 兑换 很 可 徘 ， 
当然 价钱 会 有 波动 。 我 们 可 以 用 经 济 学 模型 来 理解 供给 和 需求 对 市 场 
的 影响 ， 如 采 我 们 有 办 法 估计 一 些 不 可 知 的 信息 ， 比 如 说 未 来 人 们 需 
要 多 少 比 特 币 用 于 文 付 ， 我 们 惑 可 以 预测 市 场 。 经 济 学 模型 很 重要 也 
很 有 用 ， 现 在 也 有 很 多 人 从 事 更 细节 的 人 研究， 但 详细 的 经 济 学 模型 并 
不 在 本 书 的 讨论 范围 。 
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第 5 章 
比特 币 控 矿 


这 一 章节 我 们 将 着 重 讨论 比特 币 控 矿 (bitcoin mining) 。 前 面 我 们 
经 讨论 了 比特 币 是 如 何 依赖 这 些 矿工 们 而 运行 的 一 一 他 们 查证 交易 
2 制造 和 储存 所 有 的 区 块 ， 并 对 被 写 入 区 块 链 的 区 块 达成 共识 。 
我 们 还 知道 矿工 们 会 从 中 得 到 一 些 奖励 ， 但 还 是 有 些 芒 而 未 决 的 问 
题 : 这 些 矿 工 都 是 谁 ?” 他 们 是 如 何 进 入 这 个 行业 的 ? 他 们 是 怎么 运作 


oy 他 们 的 商业 模式 是 什么 ? 他 们 对 环境 造成 什么 影响 ? 我 们 将 在 这 


章 广 回答 这 些 问题 。 


5.1 比特 币 矿 工 的 任务 


你 者 是 想 加 入 比特 币 控 矿 行列 ， 我 们 不 会 极力 劝阻 你 ， 但 会 提醒 
你 比特 币 挖 矿 漳 很 像 当年 的 淘金 热 。 历 史上 的 淘金 热 充 不 看 各 种 年 轻 
的 淘金 者 下 海 淘金 发 财 的 故事 ， 并 且 不 可 人 避免 地 ， 许 多 人 最 终 失 去 了 
一 切 。 在 这 些 确实 经 历 了 千 辛 万 吾 的 人 们 当中 ， 也 只 有 少数 人 变 得 家 
有 。 我 们 将 在 本 章 中 了 解 到 ， 和 传统 淘金 以 及 其 他 快速 致富 途径 一 
样 ， 比 特 币 控 矿 也 面临 着 类 似 的 挑战 和 风险 。 我 们 和 和 完 要 看 一 下 拉 术 
细 订 。 要 成 为 比特 币 矿工 ， 你 必须 加 入 比特 币 网 络 并 与 其 他 市 点 相 
联 。 建 立 链接 之 后 ， 还 有 六 个 任务 要 完成 : 


1. 监 昕 交易 广播 。 监 听 网 络 上 的 交易 广播 ， 然后 验证 它们 的 签名 十 
正当 有 效 的 ， 交 易 输 出 没有 被 重复 文 付 。 


2. 维 护 区 块 链 网 络 和 监听 新 的 区 块 。 必 须 先 维护 区 块 链 。 为 了 做 到 
这 一 点 ， 一 开始 你 可 以 要 求 其 他 节点 把 区 块 链 上 的 历史 记录 (在 你 加 
入 区 块 链 网 络 之 前 的 ) 同步 过 来 。 然 后 ， 监 听 那 些 被 广播 到 网 络 上 的 
新 的 区 块 。 你 的 任务 是 验证 你 收 到 的 每 个 区 块 ， 这 里 的 验证 是 指 保证 
区 块 里 的 每 笔 交 易 都 是 有 效 的 ， 而 且 这 个 区 块 包 售 了 一 个 有 效 的 随机 
数 。 我 们 会 在 本 章 后 面谈 到 验证 随机 数 的 技术 细节 。 


3. 组 装 一 个 备 选 区 块 。 一 旦 拥有 最 新 的 全 部 区 块 链 数 据 备 份 ， 你 就 
可 以 开始 制造 你 目 己 的 区 块 了 。 要 做 到 这 一 扎 ， 你 要 把 所 监听 到 的 区 
易 进 行 组 合并 放 进 一 个 新 的 区 块 ， 然 后 把 该 新 区 块 排 在 整 条 链 中 最 新 
的 区 块 的 后 面 。 你 必须 保证 你 建立 的 新 区 块 里 的 每 笔 交 易 都 是 正当 有 
效 的 。 


4. 找 到 一 个 让 你 的 区 块 有 效 的 随机 数 。 这 一 步 的 工作 量 最 大 ， 也 是 
矿工 工作 中 最 难 的 一 个 环节 。 我 们 后 面 会 谈 到 细节 。 


5. 硕 望 你 的 区 块 被 全 网 接受 。 即 使 你 找到 了 一 个 区 块 ， 也 不 能 保证 
该 区 块 会 成 为 共识 链 《concensus chain) 的 一 部 分 。 这 需要 有 点 运气 ， 
和 希望 其 他 的 矿工 接受 你 的 区 块 ， 然 后 从 该 区 块 开 始 继续 接龙 下 去 ， 而 
不 是 从 你 的 竞争 对 手 发 现 的 区 块 开 始 。 


6. 利 润 。 如 果 所 有 其 他 矿工 接受 了 你 的 区 块 ， 那 你 束 能 获取 利润 。 
在 2015 年 ， 一 个 区 块 的 奖励 古 25 个 比特 币 ， 大 约 在 10 000 美 元 左右 。 此 
外 ， 如 采 在 该 区 块 里 的 任何 交易 都 有 交易 费 ， 所 有 交易 费 也 会 为 矿工 
所 有 。 到 目前 为 止 ， 交易 费 作为 额外 收入 ， 相 对 来 说 还 比较 低 ， 大 概 
苹 一 个 区 块 默 认 次 励 的 1%。 


我 们 可 以 把 矿工 的 任务 分 成 两 类 : 第 一 类 任务 是 验证 交易 和 区 
块 ， 这 是 比特 币 网 络 赖 以 生存 和 运转 的 基础 。 这 些 任务 也 是 比特 币 协 
议 需 要 矿工 的 首要 原因 。 第 二 类 任务 是 和 其 他 矿工 竞争 ， 争 取 可 以 找 
到 区 块 并 因此 获 益 。 这 些 任务 并 不 是 比特 币 网 络 存在 所 必需 的 ， 而 是 
为 了 鼓励 矿工 去 完成 第 一 类 任务 而 设置 的 。 当 然 ， 这 两 类 任务 都 是 使 
比特 币 成 为 一 个 数字 货币 的 必要 条 件 ， 因 为 矿工 必须 获得 奖励 才 会 去 
完成 这 些 重 要 的 任务 。 


寻找 有 效 区 块 


现在 回 到 如 何 找到 一 个 使 区 块 有 效 的 随机 数 的 问题 上 。 在 第 3 章 中 
我 们 讨论 过 ， 区 块 链 主 要 有 两 层 基 于 哈 布 国 数 的 结构 。 第 一 层 在 是 区 
块 链 上 ， 每 个 区 块 的 头 部 都 有 一 个 指针 指 同 其 前 一 个 区 块 ， 第 二 层 是 
在 每 一 个 区 块 里 ， 包 括 所 有 交易 的 梅 元 尔 树 。 


作为 矿工 ， 首 先 需要 从 你 的 交易 池 中 选 出 一 系列 有 效 的 交易 并 且 
编译 成 梅 元 水 树 。 当 然 ， 只 要 不 超过 每 个 区 块 随 机 数 的 交易 上 限 ， 你 
可 以 选择 编译 的 交易 数量 。 然 后 ， 组 装 出 一 个 新 的 区 块 ， 让 它 的 头 部 
指向 区 块 链 上 的 前 一 个 区 块 。 新 区 块 的 头 部 ， 有 一 个 32 位 的 随机 数 区 
域 。 你 需要 演 试 不 同 的 临时 随机 数 ， 直 到 该 随机 数 能 使 整个 区 块 的 哈 
希 值 小 于 目标 值 。 这 个 目标 值 一 般 体现 为 以 零 开始 的 特定 位 数 的 数 
值 。 作 为 一 名 矿工 ， 你 可 能 使 随机 数 从 0 开始 ， 每 次 增加 数值 1， 直 到 
该 随机 数 能 使 区 块 有 效 为 止 ， 如 图 5.1 所 示 。 
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图 5.1 寻找 有 效 区 块 
注 : 在 这 个 例子 中 ， 矿 工党 试 了 一 串 都 是 零 的 临时 随机 数 ， 但 没有 产生 有 效 的 哈 希 值 ， 所 以 矿 
工 继续 尝试 其 他 不 同 的 临时 随机 数 。 


在 大 多 数 情况 下 ， 随 机 数 试 过 所 有 32 位 可 能 的 取 值 后 ， 仍 然 不 能 
产生 一 个 有 效 的 哈 希 值 ， 这 时 候 你 必须 做 出 更 多 的 改变 。 注 意 ， 图 5.1 
中 币 基 (coinbase) 还 有 一 个 随机 数 可 以 改动 。 当 你 遍历 区 块头 部 随机 


数 所 有 可 能 的 取 值 后 ， 可 以 改变 币 基 里 的 随机 数 ， 比 如 加 1， 然 后 可 以 
重新 改变 区 块头 部 随机 数 来 寻找 有 效 的 哈 希 值 。 


当 改 变 币 基 里 的 随机 数 后 ， 整 个 梅 元 尔 树 上 交易 的 哈 硕 值 都 会 改 
变 〈 见 图 5.2) ， 因 为 币 基 值 的 改变 会 向 上 传递 ， 所 以 改变 币 基 的 随机 
数值 比 改 变 头 部 随机 数值 的 代价 要 大 很 多 。 正 因为 如 此 ， 矿 工大 部 分 
时 间 只 改动 类 部 的 随机 数 ， 只 有 在 遍历 头 部 2” 个 随机 数值 且 还 没有 找 
到 一 个 有 效 区 块 时 ， 才 改动 币 基 的 随机 数 。 
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图 5.2 改变 临时 随机 数 
注 : 改变 币 基 里 的 临时 随机 数 ， 整 个 梅 元 尔 树 的 哈 希 值 都 会 因此 而 改变 。 


你 所 笑 试 的 绝 大 多 数 临 时 随机 数 痢 不 会 成 功 ， 但 硝 能 够 坚持 足够 
长 的 时 间 ， 你 总 能 找到 一 对 正确 的 临时 随机 数组 合 一 盖头 部 随机 数 与 
币 基 随 机 数 ， 用 来 产生 一 个 符合 哈 希 值 要 求 的 新 区 块 。 找 到 后 要 立即 
宣布 ， 丈 有 希望 得 到 相应 的 区 块 关 励 。 


每 个 人 者 在 运算 同一 个 亦 题 吗 ? 


你 可 能 会 想 ， 如 于 每 个 矿工 都 在 量 时 随机 数值 上 逐步 加 1， 忆 
不 生 大 家 都 在 按照 同一 个 运算 模式 解 同 样 的 谜 ? 电 不 是 最 快 的 一 个 
总 最 得 竞争 吗 ? 不 会 的 。 首 先 ， 矿工 们 不 太 可 能 在 完全 相同 的 一 个 
区 块 上 进行 运算 ， 因 为 每 个 矿工 都 会 把 或 多 或 少 不 同 的 交易 用 不 同 
的 次 序 来 放 进 区 块 内 。 但 更 关键 的 是 ， 束 算 两 个 不 同 的 矿工 所 组 建 
的 区 块 里 包括 了 一 模 一 样 的 交易 ， 这 两 个 区 块 的 哈 希 值 还 是 会 不 
同 。 请 记 住 在 币 基 交易 里 ， 矿 工会 写 自 己 的 地 址 接收 刹 铸 币 。 这 个 
地 址 本 映 的 区 别 会 沿 厦 梅 元 尔 树 往 上 传递 直达 树 根 ， 导 致 整 哥 树 上 
的 哈 布 函数 值 不 同 ， 从 而 保证 了 没有 两 个 矿工 的 区 块 是 一 样 的 。 除 
非 两 个 矿工 共 带 公开 密 铀 。 这 种 情况 只 有 可 能 两 个 矿工 同 在 一 个 夏 
池 (我 们 以 后 会 讨论 ， 。 同 在 一 个 矿 池 的 矿工 会 互相 通信 ， 确 保 使 
用 不 同 的 币 基 临时 随机 数 以 避免 重 复工 作 。 


找到 一 个 有 效 区 块 到 底 有 多 难 ? 到 2015 年 年 底 ， 这 个 控 矿 的 难度 
目标 区 域 值 (用 16 进 制 来 表示 ) 为 : 


0000000000000000172EC0000000000000000000000000000000000000000000 


所 以 任何 有 效 区 块 的 哈 希 值 必须 低 于 这 个 值 。 换 句 话说 ， 大 约 2%8 
个 临时 随机 数 里 只 有 不 到 一 个 可 以 成 功 ， 这 是 一 个 非常 巨大 的 数值 。 
一 个 粗略 的 估计， 它 比 全 球 人 口 尽 和 的 平方 还 要 大 。 也 束 古 说 ， 如 果 
地 球 上 的 每 个 人 都 是 一 个 包含 7 亿 人 口 的 独立 星球 ， 那 么 总 人 口 将 会 是 
765 6 


决定 难度 


每 按 出 2 016 个 区 块 ， 控 矿难 度 会 改变 一 次 ， 这 个 周期 大 约 是 两 个 
星期 。 难 度 的 改变 是 根据 上 2 016 个 区 块 的 控 矿 效率 来 决定 的 。 用 下 列 
公式 来 表达 : 


下 一 个 难度 = 上 一 个 难度 x2 016 x 10 分 钟 
产生 上 2 016 个 区 块 所 花费 的 时 间 


注意 ，2 016x 10 分 钟 就 是 两 周 ， 也 就 是 说 ， 如 果 产 生 一 个 区 块 需 
要 10 分 钟 ， 那 么 产生 2 016 个 区 块 就 需要 两 周 时 间 。 所 以 这 个 公式 的 意 
义 束 是 ， 测 量 全 网 难度 进而 维持 平均 每 10 分 钟 产 生 一 个 新 的 区 块 的 速 
度 。 控 矿难 度 改变 的 周期 是 两 周 ， 并 没有 什么 特别 的 意义 ， 只 不 过 是 
一 个 权衡 之 下 的 结果 。 如 果 这 个 周期 太 短 ， 难 度 会 随 着 每 一 个 周期 找 
到 的 区 块 的 数目 的 不 同 而 波动 (概率 问题 ) 。 如 果 太 长 ， 整 个 网 络 的 
哈 希 算 力 会 与 难度 大 大 地 失去 平衡 (难度 的 调整 滞后 于 计算 能 力 的 变 
的 


每 个 比特 币 矿工 独立 地 计算 难度 ， 只 接受 达到 这 个 难度 的 区 块 。 
两 个 在 不 同 分 又 上 的 矿工 可 能 会 有 不 同 的 计算 难度 ， 但 在 同一 个 区 块 
工作 的 矿工 一 定 会 对 计算 难度 达成 共识 。 


图 5.3 中 显示 ， 控 矿难 度 会 随 着 时 间 不 断 地 增加 。 其 增加 不 一 定 是 
稳定 线性 或 者 是 指数 型 ， 而 是 取决 于 市 场 行为 。 挖 矿难 度 会 受到 有 多 
少 新 矿工 加 入 的 影响 ， 痢 矿工 的 加 入 本 喘 又 由 比特 币 的 当前 价格 来 决 
定 。 总 的 来 说 ， 当 越 来 越 多 的 矿工 加 入 并 且 控 矿 的 硬件 设备 效率 越 来 
越 蜗 ， 找 到 有 效 区 块 所 花费 的 时 间 束 会 越 短 ， 紧 接着 难度 束 会 增加 ， 
直到 重新 回 到 每 10 分 钟 找到 下 一 个 有 效 区 块 。 


在 图 5.3 中 ， 虽 然 整 个 网 络 的 哈 希 速度 是 平滑 向 上 增长 的 ， 那 条 实 
线 代表 的 难度 却 呈 现 阶梯 函数 式 增长 。 这 是 因为 每 产生 2 016 个 区 块 才 


会 调整 计算 难度 。 


比特 币 哈 希 速度 vs 挖 矿难 度 ( 两 个 月 ) 


150 000 哈 希 速度 (1008 ) 
一 一 挖 矿难 度 2.0e+10 
T 130 000 二 
/ 
s 110 0007 
90 000 


虽 8 月 


图 5.3 控 矿 难度 随时 间 变 化 (2014 年 年 中 ) 
主 : y 轴 开始 于 80 000TH/s 全 网 算 力 ) 。 哈 希 速 度 是 基于 超过 1 008 个 区 块 计算 出 来 的 平均 


硬 刘 


资料 来 源 : bitcoinwisdom.com 


可 以 从 另外 一 个 角度 来 看 网 络 增长 率 ， 即 看 平均 要 多 长 时 间 才 能 
找到 一 个 有 效 区 块 。 图 5.4 (a) 展示 出 区 块 链 上 两 个 连续 区 块 产 生 的 间 
阳 时 间 是 多 少 秒 。 它 逐渐 下 降 ， 跳 升 ， 又 逐渐 下 降 。 当 然 产 生 这 种 现 
象 的 原因 就 是 每 2 016 个 区 块 之 后 ， 难 度 重 新 被 设 定 ， 找 到 区 块 的 时 间 
又 重新 加 到 大 约 10 分 钟 。 昌 然 一 个 调整 周期 内 难度 都 不 会 变 ， 但 是 随 
着 越 来 越 多 的 矿工 加 入 ， 全 网 哈 希 算 力 增加 而 难度 不 变 ， 找 到 有 效 区 
块 的 速度 越 来 越 快 ， 直 到 大 概 两 个 星期 内 2 016 个 区 块 被 发 现 之 后 ， 难 
度 会 被 重新 调整 。 


比特 币 有 效 区 块 产生 所 耗费 的 时 间 vs 挖 矿难 度 


有 效 区 块 产生 所 耗费 的 时 间 (2 016 )|。 
一 控 矿 难度 


2 月 3 月 


图 5.4 (a) 找到 一 个 有 效 区 块 所 花费 的 时 间 (2014 年 早期 ) 

注 : y 轴 开始 于 460 秒 。 找 到 一 个 有 效 区 块 花费 的 时 间 是 2 016 个 区 块 样本 花费 时 间 的 平均 值 。 

SH 速度 的 连续 快速 增长 ， 找 到 一 个 有 效 区 块 所 花费 的 时 间 在 两 周 的 时 间 内 稳步 
仆 。o 

资料 来 源 : bitcoinwisdom.com 


比特 币 有 效 区 块 产生 所 耗费 的 时 间 vs 挖 矿难 度 


-一 有 效 区 块 产生 所 耗费 的 时 间 〈2 016 ) 
一 一 挖 矿 难度 


上 4.6e+10 


3 月 4 月 

图 5.4 (b) 找到 一 个 有 效 区 块 所 花费 的 时 间 (2015 年 早期 ) 

注 : y 轴 开始 于 540 秒 。 找 到 一 个 有 效 区 块 花费 的 时 间 是 2 016 个 区 块 样本 建造 时 间 的 平均 值 。 
由 于 整个 网 络 增长 开始 减速 ， 所 以 找到 有 效 区 块 的 平均 时 间 非 常 接近 10 分 钟 ， 偶 尔 还 会 因为 全 
列 算 力 缩小 而 超过 10 分 钟 。 

资料 来 源 : bitcoinwisdom.com 


es ed 目标 被 设 定 为 平均 10 分 钟 ， 但 是 在 2013 
年 和 2014 年 的 大 多 数 时 间 ， 这 个 时 间 平 均 是 9 分 钟 左右 ， 并 且 在 两 周 的 
周期 末尾 阶段 时 接近 8 分 钟 。 0 ， 全 网 运算 能 力 的 增 速 大 概 是 每 
两 周 25%， 或 者 每 年 几 百 倍 ， 这 个 数 子 非常 惊 人。 


不 出 所 料 ， 这 种 增长 不 会 无 休止 地 进行 ，2015 年 的 增 速 就 降低 很 
多 〈 偶 尔 也 会 负增长 ) 。 在 图 5.4 (b) 中 ， 我 们 可 以 看 到 全 网 哈 希 算 力 
达到 了 一 个 稳定 的 状态 ,发现 每 个 区 块 的 时 间 非 常 授 近 10 分 钟 ， 甚 至 
有 时 会 超过 10 分 钟 ， 在 这 种 情况 下 难度 将 会 被 调 低 。 这 种 曾经 被 认为 
不 可 想象 的 状况 却 在 2015 年 频繁 发 生 。 


虽然 到 目前 为 止 ， 全 网 哈 布 算 力 还 没有 经 历 过 灾难 性 的 倒退 ， 但 
征 并 不 排除 它 发 生 的 可 能 性 。 一 个 有 关 比 特 币 毅 副 的 设想 被 称 作 “死亡 
螺旋 ”"， 不 断 下 降 的 比特 币 价 格 导致 挖 矿 无 利 可 图 ， 矿 工 们 因此 而 退出 
控 矿 (全 网 运算 能 力 下 降 ) ， 继 而 进一步 导致 价格 下 跌 。 


[由 如 果 下 一 个 区 块 始 于 其 他 人 发 现 的 有 效 区 块 ， 你 发 现 的 这 个 区 块 就 会 变 成 无 效 区 块 而 
被 丢弃 。 一 译 者 注 


5.2 挖 矿 所 需 硬 件 


前 面 我 们 谈 到 矿工 所 要 做 的 计算 十 十 分 困难 的 。 我 们 现在 谈 一 下 
为 什么 计算 如 此 困难 ， 以 及 看 一 看 矿工 用 来 进行 这 些 计算 所 用 到 的 硬 
件 设备 。 


矿工 计算 难度 的 核心 在 于 ， 对 SHA-256 哈 希 函 数 的 运算 。 我 们 在 第 
1 章 抽 象 地 讨论 过 哈 希 函数 。SHA-256 是 一 个 通用 的 密码 学 哈 希 函数 ， 
它 是 在 2001 年 被 标准 化 的 密码 学 哈 希 函数 大 家 族 里 的 一 员 。SHA 是 安 
全 哈 希 算法 (Secure Hash Algorithm) 的 简称 。SHA-256 是 一 个 不 错 的 
选择 ， 因 为 它 是 比特 币 被 发 明 时 可 用 的 密码 学 哈 希 函数 中 保密 性 最 强 
的 。 虽 然 它 的 安全 性 有 可 能 随 着 时 间 推 移 而 慢 慢 降低 ， 但 至 少 现在 它 
还 是 很 安全 的 。SHA-256 的 设计 来 自 美国 国家 安全 局 (NSA) ， 这 也 导 
致 了 一 些 阴谋 论 的 诞生 ， 但 是 并 不 影响 它 是 一 个 很 强 的 哈 硕 函数 的 事 


Nl O 


近 距 离 了 解 SHA-256 


图 5.5 展 示 了 SHA-256 运 算 的 具体 细节 ， 虽 然 我 们 不 需要 知道 比特 
币 工作 原理 的 所 有 细节 ， 但 是 对 矿工 计算 任务 的 大 概 了 解 是 很 有 帮助 
的 。 


SHA 家 族 


SHA-256 名 称 中 的 “256” 代 表 它 有 256 位 的 状态 和 输出 ， 技 术 上 
来 说 ，SHA-256 是 SHA-2 了 芳 数 家 族 中 几 个 密切 相关 的 范 数 成 员 之 
一 ， 包 括 SHA-512 ( 它 有 更 大 的 状态 位 ， 所 以 也 更 加 安全 ) 。 还 有 
一 个 是 SHA-1, 这 是 一 个 有 160 位 输出 的 早期 函数 ， 虽 然 目前 认为 安 
全 性 不 高 ， 但 是 同样 应 该 在 比特 币 脚本 里 。 


整个 SHA-2 家 族 ， 包 括 SHA-256 在 密码 学 上 的 安全 性 是 得 到 公 
认 的 ， 而 下 一 代 产 品 SHA-3 家 族 已 经 从 一 个 公开 的 竞赛 (由 美国 国 
家 标准 与 技术 研究 所 举办 ) 中 诞生 了 。SHA-3 目 前 正在 进行 最 后 阶 
段 的 标准 化 测试 ， 但 在 比特 币 出 现 的 时 候 ， 它 还 没有 出 世 。 


SHA-256 是 一 个 256 位 的 状态 机 。 这 256 个 状态 被 分 割 成 8 个 32 位 的 
字段 ， 这 样 它 可 以 最 优化 地 运行 在 32 位 的 硬件 上 。 每 一 轮 运 算 选 择 一 
定数 量 的 字段 一 有 些 会 进行 一 些小 的 逐 位 调整 最 终 进 行 32 位 模 
加 法 运算 (modular addition)， 然 后 运算 结果 被 移 到 状态 最 左 的 第 一 个 字 
段 ， 这 样 使 得 整个 状态 进行 回 右 位 移 。 这 种 设计 的 思路 来 目 倘 单 位 的 
线性 反馈 移 位 寄存 器 (Linear Feedback Shift Registers， 人 简称 LFSR)。 


图 5.5 展 示 了 一 轮 SHA-256 的 压缩 钞 数 运算 ， 一 个 完整 的 SHA-256 
运算 要 做 64 次 这 样 的 迭代 运算 ， 在 每 一 轮 运算 中 ， 会 使 用 稍微 不 同 的 
常数 ， 所 以 所 有 的 迭代 运算 都 是 不 一 样 的 。 

矿工 的 任务 束 是 尽 可 能 快 地 进行 这 种 函数 运算 。 矿 工 们 互相 比拼 
运算 速度 ， 算 得 越 快 收益 越 高 。 为 了 实现 尽 可 能 快 的 速度 ， 矿 工 需 要 
进行 32 位 字段 操控 ，32 位 模 加 法 运算 ， 同 时 做 按 位 逻辑 运算 。 


256 结 构图 


注 : 这 是 一 轮 压 缩 
决定 是 选择 第 二 个 


图 5.5 SHA-256 的 结构 


。Madj 是 按 位 运算 的 。Ch 也 是 按 位 运算 的 ， 根 据 第 一 个 输入 值 的 不 同 而 


第 三 个 。 0 和 站] 通过 按 位 1 


秆 环 和 @ 运 算 来 操纵 32 位 的 字符 输入 。 


我 们 很 快 融会 看 到 ， 在 比特 币 机 制 下 ， 为 了 得 到 供 其 他 万 点 使 用 
的 哈 希 函数 ， 实 际 上 要 求 两 轮 SHA-256 运 算 。 这 是 比特 币 的 奇怪 之 处 ， 


进行 两 次 运算 的 原因 并 不 清楚 ， 


矿工 只 能 服从 


CPU 控 矿 


O 


但 这 束 是 比特 币 的 个 性 ， 作 为 比特 币 


第 一 代 挖 矿工 作 都 是 在 普通 电脑 上 完成 的 ， 也 就 是 用 通用 中 央 处 
理 器 (CPU) 来 进行 运算 。 事 实 上 ，CPU 挖 矿 的 工作 就 像 图 5.6 中 代码 
所 示 的 逻辑 那样 简单 ， 也 就 是 说 ， 矿 工 简单 地 按照 线性 的 方式 党 试 所 
有 的 临时 随机 数 ， 在 软件 中 进行 SHA-256 的 运算 ， 并 检查 结果 确认 是 否 
找到 一 个 有 效 区 块 。 请 注意 ， 正 如 我 们 之 前 提 到 过 的 ， 这 段 代 码 要 进 
行 两 次 SHA-256 运 算 。 


TARGET = (65535 << 268) / DIFFICULTY 
coinbase nonce = 8; 
while (1) { 
header = makeBlockHeader(transactions, coinbase nonce); 
for (header nonce = 6; header nonce < (1 《< 32); header nonce++)t{ 
if (SHA256(SHA256(makeBlock(header, header nonce))) «< TARGET) 
break; //block found! 
} 


coinbase nonce+t+; 


图 5.6 CPU 控 矿 的 伪 代 码 


普通 电脑 运行 这 段 代 码 到 研 有 多 快 ? 一 台 高 端的 个 人 冥 面 电 脑 ， 
每 秒 可 以 计算 大 约 2 千 万 次 哈 希 函数 (20MH/s) ， 按 照 这 个 速度 ， 根 据 
2015 年 早期 的 难度 水 平 (26” ) ， 大 概 需要 几 十 万 年 来 找到 一 个 有 效 区 
块 。 晕 不 伶 张 地 说 ， 氨 大 真 的 非 营 困难 ! 


如 今 使 用 一 个 普通 电脑 用 CPU 控 比特 币 ， 在 目前 的 难度 下 已 经 无 
利 可 图 了 。 在 过 去 的 几 年 里 ， 用 CPU 挖 矿 的 旷工 可 能 会 非常 失望 地 发 
现 ， 他 们 永远 不 可 能 通过 控 矿 赚 到 钱 ， 因 为 他 们 不 了 解 比 特 币 是 如 何 
运行 的 。 


GPU 控 矿 


第 二 代 矿 工 意识 到 用 CPU 控 矿 是 在 做 无 用 功 ， 他 们 开始 用 显卡 或 
者 图 形 处 理 器 (GPU) 来 控 。 


几乎 每 一 个 现代 个 人 电脑 都 有 内 置 的 GPU 以 支持 高 性 能 图 像 处 
理 ， 这 些 GPU 都 有 高 吞吐 量 和 高 并 行 处 理 功能 ， 这 两 点 对 比特 币 挖 矿 
都 非常 有 利 ， 比 特 币 控 矿 存在 大 量 的 并 行 处 理 ， 因 为 你 需要 同时 用 不 
同 的 临时 随机 数 计算 多 个 哈 希 值 。2010 年 ， 有 一 门 计算 机 语言 开放 运 
算 语 言 (Open Computing Language， 和 简称 OpenCL) 诞生 了 ， 这 是 一 个 


可 以 使 GPU 进行 非 图 像 处 理 类 工作 的 通用 语言 。OpenCL 是 一 门 高 级 语 
言 ， 人 们 可 以 用 它 在 显卡 上 做 很 多 种 类 型 的 运算 ， 而 且 速 度 比 在 CPU 
上 的 要 快 。 这 给 通过 GPU 来 进行 比特 币 控 矿 铺 平 了 道路 。 


当时 ， 通 过 显卡 来 控 矿 有 好 几 个 吸引 人 的 地 方 。 首 先 ， 买 显卡 很 
容易 ， 而 有 旦 哪怕 是 业余 爱好 者 也 能 轻松 配置 显卡 。 你 可 以 在 网 上 或 大 
多 数 专营 电子 产品 的 商场 里 买 到 它 。 对 大 众 来 说 ， 显 卡 是 最 容易 获得 
的 高 端 硬 件 设 备 。 其 次 ， 显 卡 还 有 一 些 格外 适合 比特 币 控 矿 的 特性 : 
显卡 的 并 行 性 设计 使 其 具备 很 多 算术 逻辑 单元 (Arithmetic Logic 
Units， 简 称 ALU) ， 可 以 同时 进行 SHA-256 运 算 。 有 一 些 GPU 还 特别 
集成 了 针对 位 移 操作 的 指令 ， 这 对 SHA-256 的 运算 非常 有 用 。 


大 多 数 显 卡 都 可 以 超频 ， 这 意味 着 如 果 你 愿意 承担 显卡 过 热 或 者 
出 现 故障 的 风险 的 话 ， 你 可 以 让 显卡 以 高 于 设计 频率 的 频率 更 快 地 运 
行 。 超 频 是 游戏 玩家 们 淘 户 了 多 年 的 符 性 。 对 于 比特 币 挖 矿 来 说， 起 
频 会 增加 收益 ， 即 使 超频 可 能 引起 一 些 运 算 错误 。 


举例 来 说 ， 将 显卡 超频 50%， 也 束 是 说 运算 速度 加 快 50%， 同 时 可 
能 会 造成 SHA-256 运 算出 错 概率 增加 30%。 如 果 显 卡 错误 地 接受 了 一 个 
不 正确 的 运算 结 来 一 一 里 然 不 太 可 能 发 生 一 一 你 还 可 以 通过 CPU 来 进 
行 二 次 确认 。 然 而 ， 你 可 能 永远 都 不 会 知道 一 个 正确 的 运算 结 末 被 错 
过 了 。 但 是 通过 超频 产生 的 运算 速度 的 增加 ， 完 全 可 以 抵消 由 于 显卡 
运行 错误 产生 的 正确 输出 减少 ， 这 样 超频 还 是 合算 的 〈 从 经 济 效益 上 
来 说 ) 。 在 上 述 的 例子 中 ， 超 频 使 得 吞吐 量 增 加 到 原来 的 1.5 倍 ， 而 运 
算 成 功率 降低 到 了 0.7， 那 么 乘积 吏 是 1.05， 也 就 是 意味 着 超频 使 得 你 
的 获 利 增加 了 59%。 为 了 最 天 化 收益 ， 人 们 花 了 很 多 时 间 去 优化 最 佳 的 
超频 比例 。 


最 后 ， 你 可 以 通过 一 个 CPU 和 一 个 主板 加 载 许多 个 GPU。 然 后 你 
便 可 以 在 安装 了 多 个 GPU 的 电脑 上 运行 比特 币 节 点 ， 监 听 网 络 收集 交 
易 ， 组 猴 区 块 ， 同 时 用 多 个 GPU 进行 SHA-256 的 运算 ， 以 更 快 地 找到 正 


确 的 临时 随机 数 及 其 对 应 的 有 效 区 块 。 很 多 人 创造 性 地 发 明了 很 多 有 
趣 的 “自制 型 * 硬 件 设置 ， 如 图 5.7 所 示 ， 用 一 个 CPU 来 驱动 很 多 个 
GPU。 这 种 情况 仅 发 生 在 比特 币 的 早期 ， 当 时 大 多 数 矿工 都 古 比 特 币 
的 爱好 者 ， 他 们 并 不 具备 服务 器 搭建 及 运营 经 验 。 但 是 他 们 还 古 做 了 
很 多 巧妙 的 设计 ， 使 得 大 量 的 GPU 可 以 在 一 个 较 小 的 空间 里 同时 运 
行 ， 同 时 还 解决 了 散热 的 问题 。 


GPU 欣 矿 的 缺点 


GPU 欣 矿 也 有 缺点 。 GPU 有 大 量 的 内 置 硬 件 来 进行 图 形 处 理 ， 这 
特定 硬件 对 比特 币 挖 矿 没有 任何 用 处 ， 比 如 它们 大 量 的 浮 点 运算 单 


此 
元 (floating point units) ， 在 SHA-256 的 运算 中 完全 用 不 到 。 


矿工 和 游戏 玩家 的 对 比 


根据 民间 传说 ，2011 年 ， 由 于 比特 币 矿工 采购 了 太 多 的 显卡 以 
至 于 影响 到 了 正常 的 市 场 需 求 ， 这 造成 了 比特 币 社区 和 游戏 社区 之 
间 的 摩擦 ， 因 为 游戏 玩家 们 发 现 采 购 某 个 热门 显卡 变 得 越 来 越 难 。 
有 趣 的 是 ， 尽 管 如 此 ， 很 多 失望 的 游戏 玩家 因此 而 对 比特 币 产生 了 
兴趣 ， 甚 至 有 些 游 戏 玩家 因此 而 变 成 了 比特 币 矿 工 ! 


’ 
[4 人 


图 5.7 一 个 用 于 比特 币 挖 矿 的 家 庭 组 装 式 GPU 机 架 
资料 来 源 : Istvin Finta, bitcointalk.org 


同时 GPU 也 没有 很 好 的 冷却 处 理 设置 ， 尤 其 是 当 你 把 大 量 的 GPU 
堆放 在 一 起 的 时 候 ， 这 个 问题 束 尤 为 突出 。 设 计 显 卡 的 时 候 并 没有 考 
虚 如 图 5.7 所 示 的 这 种 堆放 的 情形 ， 原 始 的 设计 场景 束 古 在 一 台电 脑 、 
一 个 机 箱 、 一 块 显卡 运行 做 图 形 处 理 而 已 。 


GPU 也 非常 耗 电 ， 所 以 一 台 普 通 的 电脑 也 会 消耗 很 多 电 。 由 此 引 
发 的 细 一 个 缺点 就 是 ， 你 要 么 目 己 构建 特定 的 主板 ， 要 么 伦 大 价钱 购 
天 可 以 搭载 大 量 显卡 的 特定 的 主板 。 


一 个 非常 高 端的 显卡 经 过 超频 之 后 可 能 使 得 运行 速度 达到 
200MH/s， 也 就 是 说 ， 每 秒 可 以 进行 2 亿 次 哈 希 运算 ， 这 是 用 CPU 不 可 
能 达到 的 一 个 数量 级 。 但 是 即便 如 此 ， 即 使 你 将 100 块 这 样 的 显卡 集成 


在 一 起 进行 运算 ， 根 据 2015 年 早期 的 比特 币 挖 矿难 度 ， 仍 旧 和 需要 运算 
儿 百 年 才 有 可 能 找到 一 个 有 效 区 块 。 因 此 ， 用 GPU 来 挖 矿 基 本 上 已 经 
成 为 历史 ,但 古 在 其 他 一 些 改 类 币 的 早期 阶段 还 是 很 有 效率 的 。 


现场 可 编程 | J 阵列 控 矿 


2011 年 左右 ， 用 于 现场 可 编程 门 阵列 (Field-Programmable Gate 
Array， 人 简称 FPGA) 的 硬件 设计 语言 Verilog， 第 一 次 用 于 比特 币 控 矿 。 
一 些 矿工 开始 用 FPGA 来 代 苦 GPU 进 行 控 矿 。 


家 庭 组 装 式 FPGA 机 架 
资料 来 源 : Xiangfu Liu，www.openmobilefree.net 


FPGA 的 工作 原理 是 在 追求 定制 硬件 的 最 佳 性 能 的 同时 ， 用 户 可 以 
现场 调试 或 者 修改 硬件 参数 。 相 比 之 下 ， 和 常用 的 硬件 是 在 出 三 之 前 束 
设计 好 的 ， 以 后 是 无 法 更 改定 制 而 只 能 永远 做 同样 的 工作 。 


FPGA 比 GPU 的 性 能 好 ， 特 别 是 在 数位 操作 (bit fiddling) 方面 
FPGA 很 轻易 就 可 以 做 到 。FPGA 也 很 容易 冷却 ， 不 像 GPU，FPGA 理 论 
上 可 以 使 用 硬件 板 卡 上 的 每 一 个 晶体 管 进行 控 矿 运算 。 跟 GPU 一 样 ， 
可 以 将 很 多 FPGA 堆 车 在 一 起 ， 通 过 一 个 中 央 处 理 单元 来 驱动 所 有 的 
FPGA， 如 图 5.8 所 示 。 总 体 来 说 ， 相 比 显卡 堆 琶 ， 我 们 可 以 构建 一 个 更 
加 干净 整洁 的 大 型 FPGA 阵 列 。 


精心 使 用 FPGA 可 以 使 得 运算 速度 上 升 到 1GHs， 也 就 是 每 秒 10 亿 
次 哈 希 运算 。 这 显然 比 CPU 或 者 GPU 在 性 能 上 都 有 很 大 的 提高 ， 不 过 
即使 你 有 100 块 每 秒 运算 1GH/s 的 FPGA 板 ， 在 2015 年 早期 的 比特 币 难 度 
之 下 ， 平 均 仍 旧 需 要 100 年 的 时 间 才 能 找到 一 个 有 效 区 块 。 


虽然 性 能 提高 了 ， 但 由 于 以 下 几 个 原因 ， 用 FPGA 挖 矿 的 时 代 也 非 
常 短暂 : 首先 ， 使 用 FPGA 来 控 矿 其 实 更 加 困难 一 一 儿 平 需要 一 直 超 频 
使 用 一 一 这 远 超 FPGA 供 普通 消费 者 而 设 定 的 频率 。 因 为 这 个 原因 ， 很 
多 人 在 用 FPGA 控 矿 的 时 候 经 常 看 到 各 种 报错 和 故障 。 其 次 ， 优 化 
FPGA 的 32 位 加 法 处 理 上 十 分 困难 ， 而 这 在 SHA-256 的 运算 中 非常 天 
键 。 最 后 ，FPGA 在 多 数 商 店 都 买 不 到 ， 而 且 相 比 GPU 来 说 ， 只 有 人 少 炎 
人 才 知 道 怎么 搭建 FPGA 并 进行 相应 的 编程 。 


最 重要 的 是 ， 即 使 在 性 能 功 耗 比方 面 ，FPGA 相 比 GPU 的 提升 也 不 
是 很 高 ， 这 就 使 得 用 FPGA 控 矿 只 是 一 个 短期 现象 。 尺 管 GPU 控 矿 的 时 
代 持 续 了 大 约 一 年 ， 而 FPGA 存 在 的 时 间 更 加 有 限 一 一 仅仅 存在 了 几 个 
月 ， 之 后 定制 化 的 专用 集成 电路 技术 (Application Specific Integrated 
Circuits， 简 称 ASIC) 就 诞生 了 。 


专用 集成 电路 技术 探矿 


当今 的 按 矿 市 场 主要 被 ASIC 所 主导 。 这 些 IC 必 上 请 (集成 电路 心 
片 ) 被 设计 、 制 造 、 优 化 ， 就 是 为 了 比特 币 挖 矿 这 个 唯一 目的 。 有 几 
个 大 型 的 供应 两 出 售 这 些 心 片 ， 消 费 者 可 以 买 到 不 同 种 类 的 ASIC 矿 机 
一 一 较 大 型 但 略微 昂贵 点 的 歌 式 ， 或 者 更 加 小 巧 的 ， 当 然 还 有 一 些 可 
以 世 省 能 源 的 环保 型 等 。 


设计 ASIC 心 片 需要 非 前 专业 的 知识 ， 它 们 所 需要 的 研发 周期 也 比 
较 长 。 尽 管 如 此 ， 比 特 币 ASIC 改 片 的 设计 制造 过 程 《从 发 现 问题 到 制 
作出 解决 问题 的 芯片 ， 出 乎 意料 地 迅速 ， 甚 至 打破 了 忌 片 行业 的 业界 
纪录 。 但 束 端 是 前 儿 代 的 早期 心 片 的 设计 有 许多 缺陷 ， 而 且 大 多 数 必 
片 没 有 达到 它们 所 承诺 的 性 能 指标 。 但 现在 的 比特 币 矿 机 芒 厂 技术 ， 
已经 相当 成 熟 可 靠 了 。 


到 2014 年 年 底 ，ASIC 忆 片 的 寿命 十 分 短暂 ， 原 因 是 整个 网 络 的 运 
算 能 力 不 断 地 快速 上 升 。 绝 大 部 分 早期 的 ASIC 心 片 在 6 个 月 后 就 被 淘汰 
了 。 在 这 上段 时 间 里 ， 大 部 分 的 利润 都 是 在 早期 实现 的 (后 期 几乎 没有 
什么 利润 了 ) 。 矿 工 往往 在 ASIC 发 片 “保鲜 期 * 的 前 6 个 星期 可 以 实现 整 
个 利润 的 一 半 ， 这 就 使 得 芯片 的 出 货 速 度 显 得 至 关 重 要 。 基 于 这 个 行 
业 的 不 成 熟 ， 许 多 矿工 经 常 遇 到 延迟 出 货 的 情况 ， 有 些 蕊 片 送 到 客户 
手 上 的 时 候 已 经 快要 被 淘汰 了 。 由 于 比特 币 的 全 网 运算 能 力 已 经 稳定 
下 来 ， 现 在 的 比特 币 挖 矿 设备 有 比较 长 的 寿命 ， 但 在 早期 ， 失 望 的 客 
户 对 供应 商 的 欺诈 控诉 的 事件 时 有 发 生 。 


在 比特 币 历史 的 大 部 分 时 间 里 ， 控 矿 的 经 济 效 益 对 小 矿工 来 说 一 
直 不 是 很 好 ， 这 些小 矿工 们 需要 通过 在 线 预 定 矿 机 ， 等 待 矿 机 生产 送 
货 ， 然 后 再 开始 挖 矿 赚钱 。 实 际 上 ， 大 多 数 情 况 下 ， 由 于 不 断 增 加 的 
挖 抓 难度， 很 多 人 是 一 开始 就 注定 要 亏 钱 的 。 好 在 到 2013 年 的 时 候 ， 
比特 币 价格 大 涨 ， 彻 故 扭 转 了 比特 币 矿工 亏 钱 的 状况 。 实 际 上 ， 控 扬 


比特 币 一 直 是 一 个 很 昂 贯 的 投资 ， 因 为 要 赌注 比特 币 的 价格 会 上 升 ， 
即使 是 在 挖掘 比特 币 中 赚钱 的 那些 矿工 ， 如 果 能 够 把 投资 于 挖掘 设备 
的 钱 直 接 用 于 购买 比特 币 ， 并 在 盘 利 时 卖 择 ， 这 样 他 们 的 状况 会 更 好 


些 。 


如 今 你 仍然 可 以 购买 矿 机 ， 我 们 也 不 会 劝阻 你 通过 这 种 方式 去 了 
解 比特 币 和 加 密 数 子 货 币 ， 但 是 我 们 再 次 强调 ， 这 不 古 一 个 明知 的 生 
财 之 道 。 考 虑 到 矿 机 和 运行 所 需要 耗费 的 电力 成 本 以 及 冷却 成 本 ， 大 多 
数 ASIC 矿 机 都 无 法 靠 挖 矿 来 赚 回 成 本 。 


如 今 ， 专业 控 矿 的 天 下 


在 字 天 所 术 书 从 从 人 友信 域 千 到 本 大 于 专业 检 从 是 D0 加 于 你 
持 竞 争 优势 ， 运 作 这 些 控 矿 中 心 的 公司 不 愿意 公布 其 运营 细 方 。 据 猜 
测 ， 这 些 运营 者 大 量 采购 打 过 折 的 更 新 的 功效 更 高 的 ASIC 矿 机 而 不 是 
采购 那些 能 够 直接 出 售 给 个 人 的 ASIC 矿 机 来 维持 利润 。 


图 5.9 就 是 一 个 在 格鲁吉亚 运作 的 挖 矿 中 心 的 图 片 。 


图 5.9 Bitfury 的 挖 矿 中 心 


注 ， 在 格鲁吉亚 运作 的 专业 控 矿 中 心 。 


要 建立 一 个 挖 矿 中 心 ， 需 要 具备 三 个 重要 因素 : 气候 、 电 费 、 网 
络 接 入 速度 。 尤 其 是 要 找 一 个 气温 偏 寒 的 地 方 ， 这 样 可 以 节省 冷却 费 
用 〈 大 型 计算 中 心 会 产生 大 量 的 热量 ， 如 不 马上 降温 ， 会 损害 矿 
机 ) 。 冷 却 是 比特 币 挖 矿 最 大 的 挑战 ， 其 挖 矿 本 身 的 耗 电 量 ， 用 单位 
面积 来 算 要 超过 传统 的 数据 中 心 ， 所 以 也 会 产生 差不多 当量 的 热量 需 
要 冷却 。 当 然 那 里 的 电费 要 便宜 。 男 外 ， 接 入 网 速 要 快 ， 使 得 与 比特 
币 网 络 中 的 其 他 节点 更 快速 地 链接 ， 这 样 当 新 的 区 块 被 广播 出 来 的 时 
候 ， 你 可 以 很 快 监 听 到 。 基 于 这 些 考量 ， 所 以 格鲁吉亚 和 冰岛 成 为 比 
特 币 挖 矿 中 心 的 首选 之 地 。 


与 控 金 矿 的 相似 之 处 


尽管 比特 币 挖 矿 这 个 名 词 起 得 很 有 意思 ， 如 果 回 顾 比 特 币 挖 矿 的 
发 展 历程 ， 我 们 就 不 难 发 现 其 与 历史 上 的 挖 金 矿 有 着 有 趣 的 相似 之 
处 。 它 们 都 开始 于 类 似 的 淘金 者 热潮 ， 很 多 年 轻 人 和 业余 爱好 者 积极 
地 参与 其 中 。 


比特 币 控 矿 经 历 了 一 个 逐渐 演化 的 过 程 : 从 CPU 到 GPU ， 再 到 
FPGA， 最 终 达 到 现在 的 ASIC。 而 历史 上 的 控 金 矿 则 是 从 个 人 拿 着 盘子 
在 沙里 淘金 ， 到 一 小 群 人 用 流沙 槽 来 淘金 ， 再 到 一 群 人 用 水 冲刷 金山 
来 淘金 ， 直 到 现代 机 械 化 露天 控 矿 (如 图 5.10) 。 比特 币 与 黄金 都 从 个 
人 操作 为 主 逐 步 演 变 为 大 公司 专业 运作 。 另 外 一 个 相似 点 就 是 ， 大 多 
数 的 利润 都 被 设备 制造 商 拿 走 了 ， 不 管 是 黄金 采掘 设备 还 是 比特 币 
ASIC 矿 机 生产 商 ， 而 埋单 的 都 是 那些 希望 一 夜 致富 的 人 。 


CPU GPU FPGA ASIC 


RA 


淘金 用 的 盘 ”流沙 本 ”水 冲刷 淘金 露天 机 械 化 控 矿 
图 5.10 比特 币 和 黄金 的 控 矿 进程 
注 ， 我 们 可 以 看 到 ， 比 特 币 挖 矿 和 黄金 采掘 进程 有 一 个 清晰 的 类 似 进 程 ， 两 种 活动 在 最 初 都 对 
个 人 用 户 很 友好 ， 但 是 随 着 时 间 的 推移 ， 被 大 型 公司 采取 集中 式 大 批量 运作 控制 。 


末 来 


现在 ， 用 ASIC 挖 矿 古 唯一 一 种 可 以 赚钱 的 比特 币 挖 矿 手段 ， 但 对 
个 体 矿工 来 说 ， 是 十 分 不 友好 的 。 人 们 不 荣 要 问 ， 未 来 会 如 何 发 展 ? 
小 规模 矿工 是 否 永 远 不 可 能 再 参与 到 比特 币 控 矿 中 ?是否 有 办 法 把 小 
规模 矿工 重新 纳入 挖 矿 体系 中 去 ? 更 重要 的 是 ， 现 在 使 用 的 ASIC 和 专 
业 控 矿 中 心 是 否 已 经 违反 了 比特 币 当 初 设计 的 初衷 ， 一 个 完全 去 中 心 
化 的 系统 ， 在 这 个 系统 上 里 每 个 人 都 能 用 目 己 的 电脑 去 控 太 。 


此 外 ， 如 果 这 已 经 违背 了 中 本 聪 对 比特 币 的 最 初 设计 ， 换 成 系统 
只 人 允许 CPU 来 控 矿 是 不 是 更 好 ? 我 们 将 在 第 8 章 探 讨 这 些 问 题 ， 以 及 一 
些 对 ASIC 不 友好 的 替代 方案 。 


目 我 循环 周期 


事实 上 ， 有 一 些 规 模 较 小 的 另类 币 已 经 使 用 了 和 SHA-256 不 同 的 解 
谜 算法 ， 但 是 它们 的 控 矿 发 展 轨 人 迹 和 比特 币 没有 什么 不 同 。 我 们 将 在 
第 8 章 到 第 10 章 更 深入 地 讨论 这 些 另 类 币 ， 但 是 请 记 住 ，ASIC 的 研发 和 
生产 有 着 比较 长 的 时 间 周 期 ， 所 以 如 果 一 个 使 用 新 的 解 谜 算法 的 另类 
币 (即使 只 是 在 SHA-256 的 基础 上 做 一 点 修改 ) ， 在 有 针对 性 的 ASIC 
面世 之 前 还 是 会 有 一 段 时 间 。 通 常 跟 比 特 币 一 样 ， 其 他 另类 币 的 控 矿 
发 展 也 会 经 历 从 CPU 到 GPU， 再 到 FPGA， 或 者 直接 到 ASIC 的 过 程 (前 
提 是 这 个 另类 币 非 常 成 功 ， 比 如 莱特 币 ) 。 


因此 ， 人 小 规模 矿工 的 策略 也 许 应 该 是 尝试 一 些 新 的 另类 币 ， 在 它 
们 的 价值 还 没有 足够 大 到 吸引 大 型 挖 矿 集团 投资 的 时 候 ， 成 为 这 些 男 
类 币 的 挖 矿 先行 者 ， 束 跟 黄金 末 据 的 过 程 一 样 ， 小 规模 矿工 可 以 去 竹 
试 那 些 还 没有 被 证 明 储 量 的 区 域 。 当 然 ， 这 也 意味 着 先行 者 们 将 会 
临 一 个 重大 的 风险 ， 也 就 是 这 些 男 类 币 有 可 能 永远 不 会 成 功 。 


5.3 能 源 消 耗 和 生态 环保 


我 们 看 到 大 型 职业 化 挖掘 中 心 征 如 何 接管 了 比特 币 的 挖掘 工作 ， 
我 们 也 看 到 比特 币 挖掘 与 历史 上 的 淘金 热 有 多 么 类 似 。 时 至 今日 ， 金 
矿 开 采 一 直 被 环保 问题 所 困扰 ， 比 特 币 挖 矿 虽 然 还 没有 达到 那个 程 
度 ， 但 它 已 经 开始 消耗 大 量 能 产 ， 这 已 经 成 为 热门 话题 。 本 市 中 ， 我 
们 将 着 重 讨论 比特 币 挖 矿 的 能 产 消 耗 问题 ， 以 及 其 对 信 币 系统 和 地 球 
生态 的 影响 。 


热力 学 限制 


根据 热力 学 里 的 蓝 道 尔 原 理 (Landauer's principle, 蓝 道 尔 是 前 苏联 
20 世 纪 60 年 代 天 才 物 理学 家 ) ， 任 何 一 个 不 可 逆转 的 计算 都 会 消耗 一 
定 的 能 源 ， 逻 辑 上 来 说 ， 这 种 计算 也 可 以 被 认为 是 一 种 信息 丢失 的 过 
程 。 蓝 道 尔 原理 特别 指出 ， 任 何 移 位 运算 都 会 消耗 一 定量 (k Tin 2) 
的 焦耳 ， 其 中 k 代 表 玻 尔 效 曼 常数 (Boltzmann constant, 大 概 等 于 
1.38x10 2 JJK) ，TI 代 表 必 片 以 开尔文 为 单位 的 温度 ，hn 2 代表 2 的 目 
然 对 数 ， 大 约 等 于 0.69。 算 下 来 每 一 个 单位 数据 的 运算 会 消耗 一 点 点 
热量 ， 这 从 基础 物理 学 原理 上 提供 了 一 个 能 源 最 低 消 耗 下 限 。 


这 里 我 们 不 做 进一步 推导 ， 大 概 的 意思 就 古 每 进行 一 个 不 可 送 的 
数位 运算 都 会 消耗 一 个 最 小 量 的 焦耳 ， 能 源 是 永远 不 会 被 挫 吗 的 ， 只 
会 从 一 种 形式 转变 成 男 外 一 种 形式 ， 在 计算 中 所 消耗 的 能 源 大 多 数 痢 
征 从 高 等 级 的 电能 转换 过 来 的 ， 然 后 被 园 换 成 可 以 在 环境 中 最 终 消 失 
的 热能 。 


作为 一 种 密码 学 中 的 哈 和 希 男 数 ，SHA-256 吏 是 一 个 不 可 逢 的 运 
算 ， 我们 可 以 回忆 一 下 第 1 革 里 所 说 的 ， 不 可 逆转 是 作为 密码 学 哈 希 辑 
数 的 一 个 基本 要 求 ， 既 然 不 可 送 运 算 需 要 消耗 能 源 ， 那 么 SHA-256 作 
为 比特 币 控 矿 的 基本 要 素 也 是 不 可 逆 的 ， 那 么 比特 币 的 挖 矿 过 程 必定 
会 消耗 能 产 。 监 道 尔 原理 中 描述 的 能 源 消耗 下 限 要 远 低 于 实际 控 矿 过 
程 所 消耗 的 电能 ， 虽 然 我 们 目前 无 法 使 计算 的 能 源 消耗 达到 这 个 热力 
学 原理 中 的 最 优 消耗 但 即使 我 们 做 到 了 ， 比 特 币 控 矿 也 是 要 消耗 能 
源 的 。 


比特 币 控 矿 是 如 何 消耗 能 源 的 ? 这 个 消耗 过 程 分 三 个 部 分 ， 其 中 
有 些 可 能 还 不 是 很 明显 : 


1. 内 澜 能源。 首先， 比特 币 挖掘 设备 需要 被 生产 出 来 ， 生 产 时 
所 用 的 原材料 就 需要 被 物理 开采 出 来 ， 然 后 要 把 这 些 材 料 通过 一 系列 
的 生产 流程 转化 为 比特 币 挖 矿 专用 的 ASIC， 这 两 个 过 程 都 需要 消耗 能 
源 ， 这 被 称 为 内 涵 能 源 。 在 收 到 那些 矿 机 的 时 候 ， 你 已 经 消耗 了 巨大 


的 能 产 一 一 当然 包括 物流 过 程 中 产生 的 能 耗 一 一 即使 这 时 候 你 还 没有 
开局 这 些 矿 机 ! 


可 豆 的 是 ， 随 着 越 来 越 少 的 挖 气 容 量 的 出 现 ， 内 涵 能 源 的 消耗 整 
会 降低 。 随 着 越 来 越 少 的 人 会 去 购买 狐 的 ASIC 矿 机 ， 这 些 矿 机 被 淘汰 
的 速度 也 会 减 慢 ， 那 么 相应 的 内 澜 能 源 也 会 在 多 年 的 挖 矿 中 被 摊 销 。 


2. 电 能 。 当 矿 机 启动 开始 挖 矿 时 ， 它 就 会 消耗 电能 。 根 据 蓝 道 
处 原理 ， 这 一 步 肯 定 会 消耗 能 源 。 随 着 矿 机 越 来 越 高 效 ， 所 消耗 的 电 
能 也 随 之 下 降 ， 但 是 根据 蓝 道 尔 原 理 这 个 消耗 不 能 降 为 0， 电 能 消耗 将 
会 伴随 着 矿工 的 挖 矿 生涯 。 

3. 冷 却 。 比特 币 矿 机 需要 被 冷却 ， 这 是 为 了 防止 矿 机 出 故障 。 


如 条 在 非常 寒冷 的 环境 中 进行 小 规模 的 控 矿 运营， 冷却 成 本 会 微 不 足 
道 。 但 即使 古 在 非常 寒冷 的 环境 中 ， 一 旦 在 一 个 很 小 的 空间 运行 了 足 


够 多 的 ASIC， 还 是 需要 承担 额外 的 冷却 成 本 去 解决 散热 问题 。 通 遂 冷 
却 挖 矿 机 的 耗 能 形式 也 征 利 用 电力 。 


大 规模 控 矿 


内 洱 能 源 和 电能 的 消耗 〈 每 单位 挖 矿工 作 完成 ) 会 随 着 挖 矿 运营 
规模 的 增加 而 降低 ， 设 计 和 制造 运行 在 大 型 数据 中 心 的 芯片 本 身 单位 
成 本 会 降低 ， 同 时 由 于 不 需要 很 多 电源 ， 你 可 以 使 得 电力 输送 更 加 有 
效 。 


当 讨 论 冷却 问题 的 时 候 却 恰 怡 相反， 冷却 成 本 会 随 痢 规模 的 增 大 
而 上 升 。 如 有 果 要 进行 一 个 大 规模 的 比特 币 控 矿 运 营 ， 和 需要 在 一 个 地 方 
运行 大 量 的 矿 机 ， 那 束 意 味 厦 空 间 比 较 小 不 易于 散热 。 冷 却 成 本 会 随 
着 规模 化 而 增加 〈 每 单位 运算 量 ) ， 除 非 矿 机 运行 的 物理 空间 同等 规 
模 地 增加 。 


能 耗 预 全 


整个 比特 币 系 统 到 底 需 要 耗费 多 少 能 源 ? 当然 ， 我 们 无 法 做 到 精 
确 统计 ， 因 为 这 是 一 个 去 中 心 化 的 网 络 ， 大 量 的 矿 机 分 散在 各 处 ， 并 
且 没 有 正式 记录 。 但 是 有 两 种 基本 方法 可 以 对 比特 币 矿 机 所 产生 的 能 
耗 进行 估算 。 根 据 2015 年 早期 的 比特 币 价 格 ， 我们 可 以 进行 一 个 快速 
的 简单 计算 ， 我 们 必须 强调 一 下 ， 这 个 数字 只 是 一 个 大 概 的 佑 算 ， 因 
为 不 管 哪 种 方法 ， 计 算 过 程 中 所 用 的 参数 都 是 很 难 估计 并 且 变 化 很 
快 ， 这 些 结果 只 能 是 一 个 数量 级 上 的 估算 。 


自 上 而 下 


第 一 种 是 目 上 而 下 的 方法 。 现 在 每 一 个 区 块 奖 励 是 25 个 比特 币 ， 
大 约 值 6 500 美 元 。 也 束 是 说 ， 比 特 币 体系 平均 每 秒 钟 插 空 产生 11 美 元 
1 


现在 我 们 思考 一 个 问题 : 如 果 矿 工 把 所 有 的 11 美 元 都 用 在 电费 
上 ， 他 们 可 以 买 到 多 少 电 ? 当然 ， 矿 工 通常 并 不 会 把 全 部 的 收入 都 用 
于 电费 ， 这 是 用 于 计算 电费 的 上 限 。 电 价 在 各 地 的 差异 非常 大 ， 我 们 
可 以 用 美国 的 工业 电价 ， 大 约 每 千瓦 时 (kwh)10 美 分 的 价格 来 预 估 ， 
也 残 是 每 百 万 焦耳 (megajoules， 人 简称 MJ) 大 概 3 美 分 。 如 有 果 比 特 币 矿工 
把 所 有 的 每 秒 11 美 元 收入 都 用 来 文 付 电 费 ， 他 们 可 以 购买 每 秒 367 百 万 
焦耳 ， 消 耗 大 概 367 000 千 瓦 时 电力 。 


单位 能 耗 和 单位 电力 国际 单位 制 (SD) 中 ， 能 耗 的 衡量 单 
位 是 焦耳 ， 电 力 的 衡量 单位 是 瓦特 ，1 瓦 特 代 表 每 秒 钟 1 焦耳 。 


目下 而 上 
第 二 种 是 目下 而 上 的 方法 ， 通 过 观测 每 个 区 块 的 难度 ， 了 解 矿 工 


计算 的 哈 布 数量 ， 并 以 此 来 进行 估计 。 假 设 所 有 的 矿工 都 使 用 最 高 效 
的 矿 机 ， 我 们 可 以 推导 出 一 个 最 低 电 耗 。 


目前 ， 最 好 的 商业 化 矿 机 的 功效 数值 差不多 是 3GH/s/W [ 。 那 就 
是 ， 这 样 的 ASIC 矿 机 每 消耗 1 瓦特 的 电力 ， 可 以 进行 每 秒 30 亿 次 蛤 希 
画 数 运算 。 目 前 全 网 算 力 是 350PH/s， 也 就 是 350 000 000GH/s。 [2j 根 
据 这 两 个 参数 计算 ， 我 们 就 可 以 知道 目前 基于 这 种 矿 机 效率 ， 每 秒 钟 
全 网 的 人 矿 机 需要 消耗 117MW 的 电力 。 当 然 这 个 数值 还 没有 包括 所 有 冷 
却 需 要 消耗 的 能 耗 以 及 尽 片 本 身 的 内 涵 能 耗 。 因 为 只 是 做 一 个 能 耗 的 
下 限 估计 ， 这 么 算是 可 行 的 。 


结合 上 述 两 种 方法 ， 可 以 推导 出 比特 币 挖 矿 大 概 所 耗 电 力 ， 这 是 
几 百 万 瓦特 (megawatt， 简 称 MW) 的 数量 级 。 


100 万 瓦特 究竟 是 多 少 ? 为 了 便于 直观 理解 ， 可 以 对 比 一 下 大 型 发 
电厂 产生 多 少 电 力 。 世 界 上 最 大 的 发 电厂 之 一 ， 中 国 的 三 峡 水 电站 的 
发 电 总 量 是 10 000 MW， 一 个 普通 的 大 型 水 力 发 电厂 的 发 电 总 量 一 般 
是 1 000MW 。 世 界 上 最 大 的 核电 站 日 本 柏 崎 刹 羽 核电 站 

(Kashiwazaki-Kariwa) 的 发 电 总 量 是 7 000MW， 而 平均 来 说 核电 站 的 
发 电量 为 4000MW， 而 火电 电厂 的 发 电 总 量 一 般 为 2 000MW 。 


根据 我 们 的 估算 ， 整 个 比特 币 网 络 大 概 消 耗 了 一 个 大 型 电厂 总 发 
电量 的 10%。 虽 然 这 个 数字 已 经 相当 尺 人 ， 但 是 和 地 球 上 其 他 的 用 
电 “ 大 户 ” 比 起 来 ， 这 个 还 算是 小 的 。 


比特 币 挖 矿 在 痕 引 能 产 吗 


比特 币 这 种 “浪费 ”能 源 的 形式 经 常 被 人 诉 病 ， 因 为 SHA-256 的 运 
算 没 有 其 他 任何 用 处 。 但 是 我 们 必须 认识 到 任何 一 种 文 付 系统 都 需要 
能 产 和 电力 的 消耗 。 束 拿 传统 的 货币 来 说 ， 纸 币 印 刷 、ATM 机 硕 的 运 
行 、 硬 币 分 类 机 亏 、 点 钞 机 、 文 付 服务 系统 以 及 运送 现 钞 和 金条 的 武 
装 押 运 车 ， 无 一 不 在 消耗 各 种 能 源 。 你 也 可 以 一 样 说 这 些 能 源 的 消耗 
除了 维护 整个 货币 体系 之 外 ， 也 没有 任何 其 他 用 处 。 所 以 ， 如 采 我 们 
认可 比特 币 作 为 一 个 有 用 的 货币 体系 ， 那 么 文 持 比 特 币 体系 的 能 耗 殉 
不 能 认为 是 浪费 。 


当然 ， 如 采 我 们 可 以 用 更 加 节省 能 源 的 解 谜 算法 来 代 蔡 现在 的 比 
特 币 挖 矿 ， 同 时 确保 货币 的 安全 性 ， 那 目 然 更 好 。 我 们 将 在 第 8 章 讨论 
这 个 问题 ， 然 而 我 们 并 不 知道 这 种 可 能 性 是 否 存在 。 


能 涯 的 循环 使 用 


另 一 种 使 比特 币 更 加 环保 的 主意 是 ， 把 挫 矿 过 程 中 产生 的 热能 进 
行 二 次 利用 ， 而 不 是 让 热能 无 谓 地 耗 散在 空气 中 。 这 种 收集 计算 机 运 
算 所 产生 的 热能 的 模式 被 称 为 “数据 火炉 ”(data furnace) 。 这 个 想法 
的 原理 是 使 比特 币 矿 机 挖 矿产 生 的 热能 经 过 一 种 特殊 供暖 装置 的 转 
换 ， 用 来 进行 家 庭 供 热 ， 而 不 需要 传统 的 电 取 上 暖 句 。 这 部 分 热能 供给 
瓯 成 了 比特 币 挖 矿 的 副产品 。 这 人 么 做 的 效率 其 实 并 不 比 购 买 一 个 传统 
的 电 取 暖 硕 差 。 也 许 对 于 家 庭 消费 者 来 说 ， 使 用 一 个 “数据 火炉 ?并 不 
会 比 将 供暖 设备 连 上 网 络 和 电源 插座 更 复杂 。 


这 种 方案 也 有 一 些 问题 。 虽 然 矿 机 发 热 的 效率 和 电 取 暧 右 差 不 
多 ,但 是 它们 本 映 比 用 天 然 气 供 暧 的 效率 差 很 多 。 男 外 如 有 果 在 夏天 每 
个 人 都 把 矿 机 关闭 (至 少 在 北半球 ) ， 那 么 比特 币 的 全 网 算 力 将 会 伴 
随 人 类 取暖 需求 而 产生 季 市 性 变动 。 如 果 数 据 火 炉 方 案 真 的 推广 开 
来 ， 将 会 给 比特 币 的 共识 机 制 市 来 很 有 有 趣 的 影响 。 


矿 机 的 所 有 权 也 不 明确 。 如 果 买 了 比特 币 数据 火炉 用 于 取暖， 你 
征 否 拥有 控 矿 所 获得 的 收入 呢 ? 还 是 出 售 设备 的 公司 获取 这 部 分 收 
入 ? 大 多 数 人 对 比特 币 控 矿 完全 不 感 兴趣 一 一 有 可 能 永远 没 兴 趣 一 一 
所 以 由 出 售 这 些 设备 的 公司 来 获取 这 部 分 挖 矿 收入 更 合理 。 这 也 就 意 
味 着 取暖 夯 会 以 略微 亏损 的 价格 出 售 。 这 样 一 来 ， 一 些 有 创造 性 的 用 
户 可 能 会 在 购买 了 这 些 取暖 器 之 后 ， 对 设备 进行 改造 以 使 得 他 们 目 己 
可 以 获取 这 部 分 挖 矿 收 入 。 这 可 能 会 引发 令 人 难堪 的 数据 所 有 权 管 理 
之 争 。 


将 电力 转换 成 现金 


长 远 来 看 ， 比 特 币 产生 的 另 一 个 问题 是 : 它 可 以 最 有 效率 地 把 电 
力 转 换 成 现金 。 想 象 一 下 ， 如 果 比 特 币 ASIC 矿 机 是 一 个 很 容易 购买 到 
的 商品 ， 并 且 主 要 的 挖 矿 成 本 是 电力 ， 这 便 意 味 着 ， 提 供 人 免费 的 或 低 
成 本 的 电力 将 会 面临 被 滥用 的 风险 。 


在 很 多 国家 ， 政 府 都 有 用 电 补 贴 ， 特 别 是 对 工业 用 电 进 行 补贴 。 
这 么 做 的 原因 是 政府 希望 吸引 工业 投资 留 在 本 国 。 但 是 由 于 比特 币 提 
供 了 一 种 很 好 地 把 电力 转换 为 现金 的 途径 ， 这 可 能 使 得 政府 要 重新 考 
虑 用 电 补 贴 的 模式 ， 以 防 它们 补贴 的 电力 全 部 被 转换 成 了 比特 币 。 政 
府 用 电 补 贴 的 意图 是 ， 硕 望 可 以 吸引 那些 对 国家 经 济 和 人 民 束 业 有 儿 
助 的 企业 ， 但 是 补 贴 比 特 币 控 矿 也 许 并 不 能 对 这 两 点 有 所 帮助 。 


更 大 的 问题 是 全 球 有 数 以 亿 计 的 “免费 ”插座 ， 分 布 在 家 、 学 校 、 
酒店 、 机 场 以 及 办 公 大 楼 等 。 有 人 可 能 把 控 矿 设备 接 在 这 些 地 方 控 
矿 ， 因 为 别人 会 为 此 支付 电费 。 事 实 上 ， 他 们 还 可 能 会 用 过 时 的 设备 
而 压根 不 考虑 升级 ， 反 正 电费 又 不 是 他 们 文 付 。 在 全 世界 范围 内 监控 
这 些 用 于 比特 币 控 矿 的 “ 偷 电 ”行为 ， 是 一 个 异常 艰巨 的 任务 。 


[1] GH 为 gigahash,s 为 second,w 为 watt。 一 一 译 者 注 
[2] 截至 本 书 翻译 的 时 间 ， 全 网 算 力 已 经 增长 到 了 1 200PH/s。 一 一 译 者 注 


5.4 矿 池 


设想 一 下 作为 单个 矿工 。 假 设 你 花 了 六 吾 赚 来 的 6 000 美 元 天 了 一 
台 全 新 闪 亮 的 比特 币 矿 机 ， 你 所 期 望 的 性 能 是 平均 每 14 个 月 会 找到 一 
个 有 效 区 块 〈 在 2015 年 早期 一 个 区 块 的 奖励 价值 在 10 000 美 元 ) 。 


考虑 到 电费 和 其 他 运 香 成 本 ， 矿 机 的 平均 收入 期 望 值 应 该 是 每 个 
月 400 美 元 。 如 有 果 可 以 确定 每 个 月 都 能 获得 400 美 元 ， 那 么 购买 一 台 矿 
机 是 合理 的 投资 。 但 是 别 迄 了 ， 控 矿 是 一 个 随机 过 程 ， 你 不 知道 什么 
时 候 可 以 发 现下 一 个 有 效 区 块 。 在 找到 有 效 区 块 之 前 ， 什 么 部 赚 不 
到 。 


局 方 莽 


从 人 矿工 第 一 年 能 找到 有 效 区 块 数 的 概率 分 布 上 看 ， 这 个 分 布 差异 
是 很 大 的 ， 期 望 值 (也 就 是 第 一 年 能 找到 区 块 的 平均 数 ) 是 相当 的 
低 。 因 为 发 现 区 块 的 比率 是 一 个 很 低 的 固定 值 ， 并 且 这 个 值 和 你 上 次 
发 现 一 个 有 效 区 块 所 花费 的 时 间 完 全 没有 关系 ， 因 而 总 的 发 现 区 块 的 
期 望 值 是 以 柏 松 概率 分 布 车 。 柏 松 分 布 是 指 ， 如 果 有 N 个 独立 事件 ， 
每 个 事件 成 功 的 概率 是 MN， 当 N 接 近 于 无 限 大 的 时 候 的 成 功 概 率 分 
布 。 比 特 币 挖 矿 中 ， 笑 试 每 一 个 临时 随机 数 的 行为 实际 上 整 古 一 种 超 
小 成 功 概率 事件 ， 所 以 即使 对 于 小 矿工 来 说 ，N 的 值 也 确实 很 大 ， 这 种 
近似 类 比 是 很 合适 的 。 


如 有 果 你 期 望 每 14 个 月 找到 一 个 有 效 区 块 〈 根 据 泊 松 分 布 可 知 X=6/7 
个 有 效 区 块 /每 年 ) ， 则 有 超过 40% 的 概率 在 第 一 年 你 不 会 找到 任何 有 


效 区 块 。 对 于 个 体 矿工 来 说 ， 这 可 能 是 灾难 性 的 。 你 在 一 个 矿 机 上 花 
费 了 数 千 美元 ， 并 且 文 付 了 很 多 电费 来 运行 ， 结 果 什 么 都 没有 获得 。 
第 一 年 能 获取 一 个 有 将 区 块 奖励 的 概率 大 概 是 36%， 这 也 就 意味 着 即使 
你 的 电费 不 高 ， 你 也 就 可 能 刚刚 够 支付 电费 。 当 然 也 有 很 小 的 概率 可 
能 会 发 现 两 个 甚至 更 多 的 有 效 区 块 ， 这 种 情况 下 才 有 可 能 真 的 赚钱 。 
详 见 图 5.11。 


可 能 性 概率 
(按照 柏 松 分 布 函数 ) 

概 

率 

电 


5.6% 


发 现 第 一 个 有 效 区 块 的 时 间 


图 5.11 控 矿 成 功 的 不 确定 性 
注 : 假设 全 网 哈 希 算 力 是 不 变 的 ， 平 均 发 现 一 个 区 块 的 事件 是 14 个 月 ， 对 于 一 个 小 矿工 来 说 这 
个 成 功 概 率 的 波动 太 大 了 。 


这 些 数字 只 是 一 个 近似 估算 ,但 主要 的 意思 是 ， 即 使 控 矿 从 期 望 
值 来 说 古 合理 的 ， 也 就 是 说 ， 投 资 有 足够 的 回报 ， 但 由 于 方差 足够 大 
以 至 于 会 有 很 大 的 概率 什么 都 得 不 到 。 对 于 一 个 小 矿工 来 说 ， 这 也 束 
意味 着 控 矿 就 是 一 个 赌博 游戏 。 


休 池 


历史 上 当 小 商人 遇 到 大 风险 的 时 候 ， 他 们 会 目 发 组 建 一 个 互助 保 
险 公司 来 降低 风险 。 比 如 ， 农 夫 会 日 发 地 到 在 一 起 形成 一 个 协议 ， 如 
果 任 何 一 个 个 体 农 夫 的 合 仓 不 小 心 被 烧 挥 了 ， 那 么 其 他 的 农夫 可 以 把 
他 们 的 利润 拿 来 和 这 个 不 幸 的 农夫 分 享 。 那 么 对 于 比特 币 的 小 矿工 是 
否 也 可 以 用 类 似 的 方式 来 降低 风险 呢 ? 


太 池 应 运 而 生 一 一 矿 池 束 古 一 个 比特 币 矿工 互相 之 间 的 保险 。 一 
组 矿工 可 以 形成 一 个 矿 池 共同 进行 挖 矿 ， 并 指定 一 个 币 基 接受 人 。 这 
个 接受 人 就 是 矿 池 管理 员 。 所 以 不 管 是 谁 最 终 发 现 了 一 个 有 效 区 块 ， 
太 池 管 理 员 将 会 收 到 这 个 区 块 的 奖励 ， 继 而 根据 每 个 参与 者 所 页 献 的 
工作 量 按 比例 分 配给 所 有 大 池 的 参与 痢 。 当 然 ， 矿 池 管 理 员 可 能 从 中 
分 一 部 分 来 作为 矿 池 管理 服务 的 收入 。 


假定 每 个 人 都 信任 这 个 矿 池 管理 员 ， 这 样 的 分 配 安排 可 以 极 大 地 
降低 矿工 成 功 寻 找 有 效 区 块 的 概率 波动 。 但 是 矿 池 管 理 员 如 何 知 道 矿 
池 里 每 个 成 员 实际 上 到 撒 页 献 了 多 少 工作 量 呢 ? 同时 他 又 是 如 何 去 分 
发 收入 的 呢 ? 很 显然 ， 矿 池 管 理 员 不 和 硕 望 写生 每 个 成 员 的 申明 ， 因 为 
他 们 可 能 会 虚报 目 己 的 工作 量 。 


挖 矿工 分 


对 于 这 个 问题 ， 我 们 有 一 个 简 涪 的 解决 办 法 。 矿 工 可 以 通过 输出 
控 矿 工分 (mining shares) 来 证 明 他 的 工作 量 ， 工 分 就 是 那些 接近 有 效 
区 块 的 区 块 。 比 如 目标 值 是 个 前 面 67 位 是 零 的 数字 ， 输 出 的 哈 希 值 必 
须要 低 于 这 个 目标 才 算 有 效 。 在 寻找 这 个 哈 硕 值 的 过 程 中 ， 矿 工 可 能 
找到 其 他 一 些 区 块 ， 它 们 的 哈 硕 也 有 许多 零 ， 但 达 不 到 67 个 。 矿 工 可 
以 用 这 些 区 块 来 证 明 他 们 确实 在 工作 ( 见 图 5.12) ， 一 个 合格 的 工分 可 
能 要 求 40~50 个 零 ， 取 决 于 矿工 所 加 入 的 矿 池 的 要 求 。 


9D1842A2A98DEDE34E00F6B8406AEDOCE11BDC906C6DB6E23BCD9DE35DC4C339 
86006DC06851F801FF0322E4CB92959DB619F19A03415BOC8FE131968005B9DA 
00000000004D4120FD53C6CE8F013367209E905F4AE4D7837FFCFAA22B95CEDF 
60E9D45D86FA3AE285615A3972E9F85C68FEA07611830F49ED15EEE1460E83A4 
00000000007EF3D0D4479C9FB96FF100601618AD56BD240EF762B1B6842D1CF5 
44AEE951CD30363AOA750C81CDC4BC0D3427DACA1C878A489120EB92430866F7 
D048C51CA7EA5E6B61F6B40E739F9F35E2C653A37BE7D3EA2474F5E7777C8790 
00000000000000001EB96F35E74E9BOF84BC921D52EDC878A754658F23313E86 
1289F7CFA4A86DEBB743D2B94AADOA916A9282FDCA05B70E72C627FE5A592959 
561BBB9E8AAC2B1DDE1E163DA1E4FO5BC1A9B1E92B04DCE834A6EB827C5E2E5B 
000000000082D602D87B67A42ED2BF763E92A76BE90F76A9CA71AB958EB7657A 
FD639DC38BB5279885FOFC42E7FD92D37ABD7FEAFD828CEDA2731CD781DC77D7 
图 5.12 挖 矿工 分 

注 : 矿工 不 断 尝 试 去 发 现 哈 希 值 低 于 目标 区 域 的 有 效 区 块 。 在 这 个 过 程 中 他 们 会 发 现 一 些 区 块 


的 函数 值 比 目 标 值 少 了 几 个 0 一 一 但 是 已 经 是 非常 稀有 的 ， 这 证 明了 他 们 确实 在 进行 繁重 的 运 
算 工作 。 在 这 个 图 中 ， 浅 色 阴 影 的 哈 希 值 就 代表 工分 ， 深 色 阴 影 部 分 是 有 效 区 块 的 喻 希 值 。 


矿 池 管理 员 也 会 作为 参与 者 之 一 运行 比特 币 节 点， 收集 交易 并 组 
淡 区 块 。 他 会 把 他 目 己 的 接收 地 址 放 在 币 基 交易 里 ， 0 
发 给 所 有 矿 池 里 的 矿工 们 。 矿 工 们 收 到 后 会 在 这 块 上 面 开始 挖 矿 ， 
后 递 区 工分 来 证 明 他 们 确实 进行 了 运算 工作 。 


当 矿 池 一 个 成 员 找 到 了 一 个 有 效 区 块 ， 他 会 把 这 块 发 给 矿 池 管 理 
员 ， 然 后 管理 员 会 根据 大 家 的 工作 量 按 比例 分 配 奖 励 。 发 现 这 个 有 效 
区 块 的 矿工 并 不 会 因此 获得 特别 奖励 ， 所 以 如 果 其 他 矿工 的 工作 量 更 
大 ， 那 么 其 他 矿工 就 会 获得 更 多 的 奖励 ， 即 使 他 们 并 不 是 真正 发 现 有 
效 区 块 的 人 。 如 图 5.13。 
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图 5.13 控 矿 奖励 


注 : 图 上 三 个 矿工 在 同一 区 块 上 挖 矿 。 他 们 最 后 的 奖励 是 根据 他 们 工作 量 的 大 小 来 决定 的 。 即 
使 是 右边 那个 矿工 找到 了 有 效 区 块 ， 但 左边 那个 获得 了 更 多 的 奖励 ， 因 为 他 的 工作 量 更 大 。 找 
到 有 效 区 块 的 矿工 并 没有 收 到 特别 奖励 。 


太 池 管 理 员 如 何 分 配 奖励 的 方案 有 好 几 种 ， 我 们 将 会 探讨 一 下 最 
常见 也 十 最 简单 的 两 种 ， 也 有 其 他 一 些 方 案 被 不 同 的 矿 池 使 用 ， 但 这 
两 种 基本 上 可 以 解释 交 励 方案 之 间 的 权衡 选择 。 


工分 分 红 


在 这 个 模式 里 ， 管 理 员 会 对 每 一 个 超过 特定 区 块 难度 的 工分 发 放 
固定 的 奖励 分 红 。 在 这 个 模式 里 ， 矿 工 在 发 送 工分 之 后 ， 管 理 员 马上 
吕 会 对 其 文 付 奖励 ， 而 不 需要 等 到 整个 矿 池 发 现 一 个 有 效 区 块 。 


从 某 些 方面 来 说 ， 工 分 分 红 的 模式 对 矿工 是 最 有 利 的 ， 他 们 可 以 
确保 每 次 发 现 一 个 工分 的 时 候 都 有 一 定 的 收入 ， 而 管理 员 其 实 担 当 了 
所 有 的 风险 ， 因 为 无 论 矿 工 是 否 找到 有 效 区 块 ， 他 都 必须 按照 工分 文 
付 奖励 。 当 然 ， 和 其 他 模式 相 比 ， 因 为 风险 的 增加 ， 管 理 员 也 会 收取 
更 高 的 管理 费用 。 


这 个 模式 的 问题 是 ， 矿 工 没有 动力 把 有 效 区 块 提 区 给 管理 员 。 也 
束 是 说 ， 即 使 把 有 效 区 块 丢弃 了 ， 他 们 也 会 得 到 同样 的 奖励 ， 但 对 整 
个 矿 池 来 说 是 个 巨大 的 损失 。 一 个 恶意 的 管理 员 可 以 作为 矿工 参与 男 
外 一 个 矿 池 ， 用 这 个 方法 攻击 男 一 个 苋 争 对 手 ， 让 他 的 矿 池 无 法 维持 
让 


按 实 际 比 列 分 红 


在 这 个 模式 里 ， 不 是 按照 工分 分 发 固定 分 红 ， 每 个 工分 所 能 得 到 
的 分 红 ， 取 决 于 整个 矿 池 有 是否 可 以 找到 一 个 有 效 区 块 。 每 次 找到 一 个 
有 效 区 块 ， 区 块 奖励 (25 个 比特 币 再 加 上 交易 费 ) 会 按照 每 个 矿工 的 
实际 工作 量 按 比例 分 配 。 


在 这 个 模式 里 ,矿工 仍然 会 承担 与 矿 池 风 险 成 一 定 比例 的 风险 。 
但 是 如 果 矿 池 足 够 大 ， 发 现 有 效 区 块 的 概率 波动 会 相当 低 。 按 实际 比 
例 分 配 的 模式 大 大 降低 了 人 矿 池 管理 员 的 风险 ， 因 为 只 有 人 矿 池 发 现 有 效 
区 块 的 时 候 才 会 文 付 矿工 奖励 。 这 也 解决 了 工分 分 红 模 式 的 问题 ， 矿 
工 有 动力 把 有 效 区 块 提交 给 管理 员 ， 因 为 只 有 那样 他 们 的 奖励 才 会 被 
相应 发 放 。 


相 比 工分 分 红 模 式 ， 这 个 模式 略微 增加 了 管理 员 的 工作 量 ， 他 要 
校 验 、 计 算 和 分 配 奖 励 。 


人 池 跳 换 


即使 只 有 这 两 种 矿 池 运 膏 模 式 ， 我 们 可 以 看 到 矿工 有 动力 去 时 不 
时 地 进行 矿 池 跳 换 (pool hopping) 。 比 如 ， 一 个 按 实 际 比例 运行 的 矿 
池 很 快 发 现 有 效 区 块 时 ， 不 管 有 效 区 块 被 发 现 的 间隔 是 多 久 ， 管 理 员 
都 会 快速 文 付 矿工 奖励 。 


一 个 耶 明 的 矿工 可 能 党 试 在 挖 矿 周期 的 早期 (也 就 是 上 一 个 区 块 
刚刚 被 发 现 ) ， 在 按 实际 比例 分 红 的 矿 池 中 挖 矿 ， 这 个 时 候 的 奖励 可 
能 相对 比较 高 ， 然 后 只 在 周期 的 后 期 切换 (“ 跳 ”) 到 一 个 工分 分 红 模 式 
的 矿 池 ， 这 个 时 候 按 实际 比例 分 红 的 矿 池 收 益 可 能 相对 较 低 。 这 样 导 
致 的 结 末 束 是 按 比例 分 配 的 矿 池 可 能 无 法 运行 。 实 际 上 更 加 复 洒 的 方 
案 可 以 防止 这 种 矿工 行为 ， 比 如 “根据 最 近 N 个 工分 提交 的 结 末 才 分 
配 * 是 比较 平 党 的 做 法 ， 但 即使 这 些 方 案 也 有 可 能 诱发 矿工 跳 换 的 行 
为 。 如 何 设计 一 个 矿 池 方案 以 使 其 更 好 地 防止 这 种 行为 ， 仍 旧 古 一 个 
有 行 解决 的 问题 。 


历史 和 标准 化 


矿 池 兴起 于 2010 年 比特 币 的 GPU 时 代 ， 并 迅速 变 得 十 分 受 欢 迎 。 
道理 很 简单 ， 因 为 它 降 低 了 矿工 的 概率 波动 风险 。 时 至 今日 ， 人 矿 池 已 
经 发 展 得 十 分 先进 。 已 经 有 很 多 矿 池 管 理 协议 应 运 而 生 ， 甚 至 有 人 建 
议 这 些 矿 池 管理 协议 应 该 被 标准 化 ， 并 且 作 为 比特 币 本 身 的 一 部 分 。 
束 像 比特 币 的 点 对 点 网 络 协 议 一 样 ， 这 些 矿 池 协 议 也 提供 了 一 种 特定 
的 通信 应 用 程序 编程 接口 (Application Programming Interface ， 简 称 
API)， 用 于 矿 池 管理 员 与 每 个 矿工 交流 分 派 工 作 和 矿工 们 递交 工分 给 
管理 员 。 获 取 有 效 区 块 模版 (getblocktemplate， 人 简称 GBT) 就 作为 一 种 
标准 化 的 矿 池 协议 放 进 了 比特 币 改进 方案 (Bitcoin Improvement 
Proposal， 简 称 BIP) 之 中 。 一 种 被 称 为 层 (stratum) 的 竞争 协议 ， 目 
六 在 实际 中 运用 很 广泛 ， 束 是 一 份 BIP。 不 像 比特 币 本 吴 的 协议 ， 从 事 
存在 多 个 互 不 兼容 的 矿 池 协议 没有 造成 太 多 的 不 便 。 每 个 人 矿 池 可 以 选 
择 它 们 剖 欢 的 协议 ， 然 后 让 市 场 来 判定 讨 优 讨 盆 。 


有 些 挖 矿 机 甚至 把 这 些 协 定 放 进 了 人 硬件 ， 但 这 最 终 会 对 限制 这 些 
矿 机 的 灵活 性 有 所 限制 。 然 而 这 使 得 购买 矿 机 加 入 矿 池 变 得 异 肖 人 简 


单 。 只 需要 把 矿 机 插 上 电 并 连接 上 了 网络， 选择 一 个 矿 池 ， 然 后 这 个 矿 
机 立刻 就 会 接受 该 矿 池 的 指令 开始 挖 矿 ， 并 把 电力 消耗 转变 成 收益 。 


51% 的 矿 池 


2015 年 早期 的 时 候 ， 绝 大 部 分 矿工 都 通过 加 入 矿 池 来 控 矿 ， 只 
很 少 的 矿工 还 在 单独 控 矿 。 而 在 2014 年 6 月 ， 网 络 里 最 大 的 矿 汇 
GHash.IO， 曾 经 变 得 如 此 巨大 ， 其 算 力 甚至 超过 了 比特 币 全 网 算 力 的 
5096。 主 要 是 因为 这 个 矿 池 给 矿工 优厚 的 奖励 ， 以 至 于 大 家 都 想 加 入 。 
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图 5.14 (a) 矿 池 的 算 力 分 布 
资料 来 源 : blockchain.info (2014 年 6 月 ) 
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图 5.14 (c) 矿 池 的 算 力 分 布 
资料 来 源 ，blockchain.info (2015 年 4 月 ) 


BW.COM : 13 


但 这 也 是 比特 币 社区 一 直 所 担心 的 ， 也 导致 了 对 GHash 的 反击 。 到 
了 8 月 ，GHash 不 再 接受 新 用 户 而 主动 下 调 了 一 些 比例 。 即 便 如 此 ， 两 
个 矿 池 依然 莹 控 了 整个 网 络 一 半 左 右 的 算 力 。 


到 了 2015 年 4 月 ， 形 势 改 变 了 许多 ， 至 少 从 表面 上 来 看 变 得 不 是 那 
么 集中 。 但 一 个 矿 池 掌 控 51% 的 算 力 依然 是 社区 里 一 个 令 人 担忧 的 问 
题 。 然 而 GHash 遭 受 的 负面 的 公众 效应 让 很 多 矿 池 意 识 到 这 个 问题 ， 并 
尽量 避免 增长 得 过 大 。 随 着 新 的 矿工 加 入 市 场 ， 标 准 化 的 协议 使 得 矿 
池 之 间 的 切换 更 加 容易 ， 矿 池 的 市 场 份额 一 直 在 变动 。 矿 池 在 长 期 如 
何 发 展 ， 目 前 还 不 明明 。 


无 论 如 何 ， 矿 池 有 可 能 会 掩盖 这 样 一 个 事实 : 实际 上 的 算 力 集中 
在 几 个 大 的 挖 矿 机 构 手 上 ， 这 些 大 的 机 构 可 以 同时 参与 多 个 不 同 的 矿 
池 以 掩盖 它们 的 真实 规模 。 这 种 做 法 被 称 为 “ 尝 算 力 ” (laundering 


hashes， 类 似 于 洗钱 ) 。 因 为 矿 池 的 原因 ， 发 现 洗 算 力 变 得 非常 困难 ， 
这 也 使 得 外 人 无 法 知晓 矿 机 的 实际 物理 控制 有 多 么 集中 。 


矿 池 是 有 益 的 吗 


矿 池 的 好 处 在 于 矿工 挖 矿 变 得 更 加 容易 预测 ， 也 让 小 矿工 更 加 容 
易 参 与 。 如 果 没 有 矿 池 的 存在 ， 挖 矿 效益 上 的 概率 波动 会 让 小 矿工 承 
受 不 起 。 


太 池 男 外 的 一 个 好 处 在 于 ， 每 一 个 矿 池 都 有 一 个 中 心 化 的 矿 池 管 
理 员 在 网 络 中 组 装 区 块 ， 所 以 网 络 更 新 变 得 更 加 容易 。 只 要 更 新 管理 
员 的 软件 ， 即 可 更 新 所 有 矿 池 成 员 的 软件 。 


当然 矿 池 的 一 大 问题 是 中 心 化 管理 。 矿 池 管 理 员 实际 掌握 了 多 大 
的 算 力 是 一 个 问题 。 当 然 ， 理 论 上 一 个 矿工 如 果 觉 得 管理 员 权 力 太 
大 ， 可 以 目 由 地 选择 离开 ， 但 实际 中 有 多 少 矿 工会 这 样 做 还 不 清楚 。 


男 一 个 坏处 是 减少 了 比特 币 网 络 上 校 验 全 部 交易 市 后 的 数量 (全 市 
点 )。 以 前 ， 无 论 大 小 ， 所 有 矿工 都 必须 目 己 运 行 一 个 全 万 点。 他 们 要 
存储 整个 区 块 链 ， 并 校 验 每 个 交易 。 现 在 他 们 把 这 项 工作 交 给 了 矿 池 
管理 员 。 这 也 是 我 们 在 第 3 章 中 提 到 的 : 整个 网 络 中 进行 校 验 交易 的 全 
节 扩 的 数目 在 下 降 。 


如 果 你 对 矿 池 的 中 心 化 模式 感到 不 安 的 话 ， 你 可 能 会 问 : 我 们 是 
人 否 可 以 重新 设计 挖 矿 的 流程 ， 这 样 我 们 就 不 需要 任何 矿 池 ， 大 家 必须 
目 己 进行 控 矿 。 我 们 会 在 第 8 章 中 探讨 这 个 问题 。 


[1] 柏 松 是 18 世 纪 法 国 数学 家 ， 概 率 学 黄 基 人 之 一 ， 相 松 分 布 被 广泛 用 于 各 个 领域 的 概率 
分 析 。 一 一 译 者 注 


5.5 控 矿 的 激励 和 策略 


我 们 在 这 一 章 花 了 很 多 篇 幅 讨 论 作 为 一 个 矿工 的 主要 挑战 ， 买 到 
好 的 硬件 、 找 到 廉价 的 电费 ， 然 后 尽快 开始 运行 ， 然 后 期 待 一 些 好 运 
气 。 不 过 在 挑选 一 个 区 块 开 挖 之 前 ， 每 个 矿工 都 需要 做 一 些 策略 上 的 


选择 : 


1. 需 要 包括 哪些 交易 ? 矿工 可 以 选择 将 哪些 交易 放 进 他 的 区 块 里 。 
默认 的 规则 是 选择 那些 交易 费 比较 高 的 交易 。 


2. 对 哪 一 个 区 块 进行 挖 矿 运算 ? 矿工 可 以 选择 在 哪个 区 块 上 进行 挖 
入。 上 默 认 的 做 法 是 在 最 长 的 那 条 区 块 链 上 继续 控 下 去 。 


3. 在 同一 高 度 的 多 个 区 块 中 做 选择 。 如 采 两 个 不 同 的 区 块 在 同一 时 
间 被 守 布 发 现 ， 这 束 造 成 了 一 个 区 块 的 分 义 ， 每 个 区 块 部 是 可 以 被 延 
续 下 去 的 ， 因 为 它们 都 符合 最 长 区 块 链 原 则 。 矿 工 必 须 选 择 其 中 一 个 
区 块 接龙 下 去 。 默 认 的 做 法 古 选 择 最 先 被 监听 到 的 那 一 个 区 块 。 


4. 什 么 时 候 宣布 新 的 区 块 ? 当 矿 工 找到 一 个 有 效 区 块 之 后 ， 他 们 要 
决定 什么 时 候 向 比特 币 网 络 宣布 这 一 个 区 块 。 默 认 做 法 是 立刻 宣布 ， 
但 他 们 也 可 以 选择 等 一 个。 


矿工 其 实 面 临 很 多 决定 。 每 个 决定 部 有 一 个 默认 策略 ， 直 到 这 本 
书 把 写 之 时 ， 绝 大 多 数 的 比特 币 客 户 端 都 是 按照 该 默认 策略 运行 的 。 
非 默认 策略 也 有 可 能 使 得 控 矿 收益 更 高 ， 很 多 人 积极 研究 如 何 找到 这 
样 的 策略 。 让 我 们 来 看 看 几 种 可 能 有 别 于 默认 策略 的 做 法 ， 这 些 做 法 
可 能 使 得 控 矿 收益 更 高 。 在 接 下 来 的 内 容 中 ， 我 们 假设 一 个 运行 非 默 
认 策 略 的 矿工 掌控 一 定 的 比特 币 网 络 挖 据 市 场 份额 ， 设 为 a。 


分 又 攻击 


最 简单 的 攻击 就 是 分 又 攻击 (forking attack) ， 这 是 一 个 显而易见 
的 获 利 方式 一 重复 支付 。 一 个 恶意 的 矿工 给 一 个 受害 者 鲍 勃 发 送 了 
一 些 比 特 币 来 购买 其 服务 和 货品 。 鲍 动 等 到 这 笔 支 付 交 易 被 放 进 了 最 
长 链 之 后 ， 甚 至 还 等 到 了 6 个 证 实 的 时 候 确 认 文 付 安全 之 后 ， 才 开始 发 
货 或 者 提供 服务 。 


现在 这 个 矿工 开始 跳 到 前 一 个 区 块 上 开始 重新 控 矿 一 一 就 是 在 那 
个 包含 他 给 鲍 对 的 文 付 区 易 区 块 之 前 的 那 一 块 。 在 这 个 分 又 的 区 块 链 
里 ， 他 插 进 了 男 一 个 蔡 代 交易 一 一 或 者 进行 一 个 双重 文 付 一 一 把 那些 
已 经 文 付 给 鲍 动 的 比特 币 重新 发 送 回 目 己 的 地 址 里 ( 见 图 5.15) 


图 5.15 分 又 攻击 
注 : 一 个 恶意 的 矿工 给 受害 者 鲍 勃 发 送 了 一 些 比特 币 来 购买 其 服务 和 货品 。 然 后 这 个 矿工 进行 
了 一 个 分 又 攻击 ， 创 建 了 一 个 包含 冲突 交易 的 更 长 的 分 又 ， 在 新 的 共识 链 中 给 鲍 勃 的 文 付 就 变 
成 了 无 效 的 交易 。 


想 要 这 个 攻击 成 功 ， 被 分 又 的 区 块 链 必 须要 覆 疝 当前 最 长 的 一 条 
链 ， 一 旦 这 个 情况 发 生 ， 文 付 给 鲍 攻 的 交易 吏 不 再 存在 于 共识 的 区 块 
链 里 。 如 果 这 个 矿工 掌握 占 优势 的 哈 布 算 力 的 话 ， 也 就 是 说 a > 0.5， 这 
种 攻击 束 会 成 功 。 也 束 是 说 ， 即 使 有 大 量 的 随机 变数 ， 这 个 分 义 最 终 
会 变 成 最 长 的 一 条 链 ， 也 就 是 正当 有 效 的 共识 链 。 甚 者 ， 因 为 这 些 币 


已 经 被 用 过 了 (在 新 的 共识 链 上 ) ， 这 笔 文 付 给 鲍 勃 的 交易 永远 不 可 
能 再 回 到 区 块 链 上 了 。 


519% 是 必要 的 吗 ? 如 果 a > 0.5 的 话 ， 发 动 一 个 分 又 攻击 是 很 有 
可 能 发 生 的 。 但 在 实际 中 ， 用 稍 低 的 算 力 也 可 以 发 动 一 个 那样 的 攻 
击 ， 因 为 有 类 似 于 网 络 拥塞 之 类 的 其 他 因素 。 在 主 链 上 挖 矿 的 其 他 矿 
工会 因为 一 个 正常 的 原因 产生 一 些 过 时 的 区 块 一 “因为 有 网 络 延 时 。 
但 是 一 个 中 心 化 的 攻击 者 本 身 则 不 会 有 这 个 延迟 ， 他 可 以 进行 更 快速 
的 通信 并 且 生 成 更 少 的 过 时 区 块 ， 这 可 能 会 节省 1% 甚 至 更 多 的 算 力 。 


拥有 近乎 50% 算 力 的 攻击 者 可 能 需要 花 很 长 时 间 才 可 能 成 功 ， 因 为 
有 随机 性 。 算 力 超 过 50% 越 多 ， 攻 击 就 会 变 得 越 容易 也 越 有 效 。 人 们 经 
常 讨论 51% 的 攻击 ， 是 因为 51% 是 一 个 分 水 岭 ， 超 过 51% 的 时 候 分 又 攻 
击 就 会 成 为 可 能 。 实 际 上 ， 这 种 攻击 的 成 功 概率 是 呈 梯 度 变 化 的 。 


可 操作 的 对 策 。 我 们 不 清楚 分 又 攻击 在 现实 中 是 否 一 定 成 功 。 
因为 大 家 可 以 觉察 到 这 个 攻击 ， 社 区 可 以 对 此 做 出 决定 ， 即 使 分 又 链 
更 长 也 可 以 拒绝 接受 。 


攻击 和 币值 (exchange rate) 。 更 加 重要 的 是 ， 这 种 攻击 可 以 挫 
毁 大 家 对 比特 币 的 信心 ， 比 特 币 的 拥有 者 们 就 想 要 把 资产 转移 出 去 ， 
以 至 于 比特 币 价格 朋 浇 。 因 此 ， 虽 然 一 个 具有 51% 算 力 的 攻击 者 可 能 会 
在 短期 内 利用 双重 文 付 进行 欺骗 并 获得 额外 的 收益 ， 但 是 从 长 期 来 
看 ， 其 实 他 们 这 么 做 造成 的 损失 可 能 更 大 。 


所 以 发 动 这 种 攻击 的 人 其 实 是 想 通 过 打击 信心 来 摧毁 比特 币 。 有 
点 类 似 于 邦 德 电影 里 的 反派 想 要 对 诺 克 斯 堡 里 的 所 有 的 黄金 进行 辐射 
污染 ， 使 其 变 得 没有 价值 一 样 ， 这 类 攻击 被 称 为 金 手 指 攻 击 
(Goldfinger attack) 。 这 种 攻击 者 的 目的 可 能 就 是 拱 毁 整个 货币 ， 可 
能 是 由 于 他 可 以 通过 要 么 做 比特 币 空头 交易 ， 要 么 拥有 大 量 的 竞争 货 
币 而 获 益 。 


通过 贿赂 来 进行 分 义 攻 击 


通过 购买 足够 多 的 矿 机 来 控制 大 部 分 的 算 力 ， 是 一 件 非 常 困难 而 
且 昂 党 的 任务 。 但 可 能 还 是 会 存在 其 他 简单 的 方法 来 进行 分 义 攻击 : 
相 比 直接 购买 算 力 以 获取 超越 所 有 其 他 人 算 力 的 兄 贯 做 法 ， 贿 赂 那些 
有 能 力 的 矿工 来 为 你 来 工作 也 十 可 能 的 。 


有 几 种 贿赂 其 他 矿工 的 方法 。 其 中 一 个 方法 是 “系统 外 的 ” (out of 
band ) 可 能 找到 一 些 矿工 然后 直接 用 现金 来 贿赂 他 们 。 当 然 一 个 
更 加 聪明 的 办 法 是 创建 一 个 新 的 矿 池 ， 然 后 提供 更 好 的 奖励 来 吸引 其 
他 矿工 来 加 入 ， 即 使 矿 池 运行 可 能 因此 而 亏损 。 虽 然 这 种 奖励 不 可 能 
长 期 维持 下 去 ， 但 是 可 以 维持 足够 长 的 一 段 时 间 直 到 可 以 发 动 一 个 成 
功 的 分 又 攻击 ， 然 后 获 利 。 还 有 一 种 方法 是 在 你 的 分 又 区 块 链 里 留 下 
足够 多 的 "小 费 ?*， 多 到 足以 让 其 他 矿工 离开 最 长 链 来 加 入 你 的 分 链 ， 矿 
工 们 希望 你 的 链 成 为 最 长 的 链 ， 这 样 一 来 他 们 可 以 收取 你 留 下 的 小 
费 。 


不 管 是 哪 种 贿赂 的 方式 ， 核 心思 路 都 是 一 样 的 : 有 别 于 直接 获得 
大 量 算 力 ， 攻 击 者 去 贿赂 那些 已 经 拥有 算 力 的 人 ， 让 他 们 帮助 目 己 分 
又 出 态 外 一 条 最 长 的 区 块 链 。 


可 能 矿工 们 并 不 愿意 去 帮助 一 个 攻击 者 ， 因 为 这 么 做 会 危害 整个 
货币 的 价值 ， 而 他 们 已 经 在 此 之 上 投入 了 相当 多 的 资金 和 矿 机 。 从 田 
一 方面 看 ， 昌 然 矿 工 们 作为 一 个 整体 可 能 布 望 保持 货币 的 价值 ， 但 二 
他 们 可 能 做 不 到 一 臻 行动。 个 别 矿工 可 能 会 因为 短期 利益 ， 将 个 人 利 
益 置 于 集体 利益 之 上 。 从 经 济 学 的 角度 来 看 ， 那 就 是 个 经 典 的 “ 公 地 悲 
剧 " 了 。 


这 些 假想 在 现实 中 未 曾 发 生 。 贿 赂 攻击 是否 可 行 ， 这 依旧 古 一 个 
巧 而 未 决 的 问题 。 


上 临时 保留 区 块 攻击 


假设 找到 一 个 区 块 之 后 ， 默 认 的 做 法 是 你 会 立刻 同 全 网 宣布 找到 
的 区 块 。 但 是 如 果 你 想 进 行 一 个 临时 保留 区 块 攻击 (temporary block- 
withholding attacks)， 你 也 可 以 不 立刻 宣布 ， 然 后 在 这 块 上 面 继 续 控 
矿 ， 期 望 你 可 以 在 其 他 矿工 找到 下 一 个 区 块 之 前 连续 找到 两 个 有 效 区 
块 ， 在 整个 过 程 中 秘密 地 保留 你 所 发 现 的 区 块 。 


如 果 你 已 经 拥有 两 个 公共 区 块 链 上 超前 的 秘密 区 块 ， 那 么 全 网 和 狮 
下 的 矿工 所 做 的 挖 矿 努 力 都 会 被 浪 费 ， 其 他 的 矿工 都 会 在 他 们 认为 最 
长 的 链 上 继续 控 矿 ， 一 旦 他 们 宣布 他 们 找到 了 一 个 有 效 区 块 ， 你 可 以 
立刻 宣布 你 所 秘密 保留 的 两 个 区 块 ， 这 样 你 的 区 块 链 立刻 变 成 了 最 长 
的 有 效 链 ， 而 其 他 人 匀 否 控 出 来 的 区 块 马 上 束 变 成 了 一 个 孤 块 而 被 丢 
弃 ( 见 图 5.16) ， 你 的 这 种 行为 被 称 为 自私 挖 矿 (selfish mining) 。 通 
过 使 网 络 上 的 其 他 矿工 浪费 算 力 计算 出 来 的 区 块 瞬 间 过 期 ， 可 以 有 效 
地 增加 你 的 挖 矿 获 利 。 
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图 5.16 自私 控 矿 图 示 
注 : 图 中 显示 了 其 中 一 种 攻击 方式 。 (1) 攻击 之 前 的 区 块 链 。 2) 攻击 着 挖 到 的 区 块 ， 保 留 


着 ， 在 此 之 上 继续 挖 矿 。 (3) 攻击 者 运气 很 好 ， 在 全 网 其 他 矿工 之 前 发 现 了 第 二 个 区 块 ， 并 
继续 保留 。 (4) 非 攻击 者 找到 了 一 个 区 块 ， 并 进行 广播 。 攻 击 者 立刻 广播 他 所 保留 的 两 个 区 
块 ， 使 得 区 块 4 变 成 了 孤岛 ， 浪 费 了 其 他 人 之 前 所 用 的 算 力 。 


这 里 面 的 关键 是 你 需要 运气 好 到 连续 发 现 两 个 区 块 ， 风 险 在 于 你 
只 领先 了 一 个 区 块 ， 其 他 人 就 已 经 向 网 络 宣布 发 现 了 一 个 有 效 区 块 。 
如 果 这 种 情况 发 生 ， 你 必须 立刻 宣布 你 的 秘密 区 块 ， 这 叫 造成 了 一 个 
区 块 的 分 义 ， 每 个 矿工 都 需要 选择 哪 一 个 区 块 继续 控 下 去 。 当 然 ， 你 
希望 大 部 分 其 他 矿工 最 早 监 昕 到 你 的 区 块 并 在 上 面 继 续 控 矿 。 由 于 这 
种 攻击 的 有 效 性 严重 依赖 你 说 得 这 个 竞赛 的 能 力 ， 所 以 网 络 位 置 至 关 
重要 。 你 可 以 尝试 跟 所 有 的 节点 建立 链接 ， 以 使 得 你 的 区 块 可 以 第 一 
个 到 达 其 他 的 市 态 。 


假设 只 有 50% 的 机 会 可 以 赢得 这 个 竞赛 ， 在 a>0.25 的 情况 下 ， 目 私 
挖 矿 可 以 比 默 认 策 略 更 有 收益 。 如 琳 a>0.333， 即 使 你 输 挥 每 一 个 这 种 
竞赛 ， 仍 然 可 以 获得 更 高 的 收益 。 这 种 攻击 的 存在 是 令 人 震惊 的 ， 原 
来 大 家 都 相信 如 果 没 有 很 大 的 算 力 一 一 比如 as<0.5 \ 会 有 比 默认 党 
略 更 有 利 的 挖 矿 策 略 。 所 以 ， 即 使 菜 个 矿工 控制 的 算 力 低 于 50%， 也 是 
有 可 能 通过 切换 到 其 他 的 挖 矿 寅 上 略 来 获取 更 多 的 收 臣 。 


到 2015 年 为 上 ， 临 时 保留 区 块 攻 击 仅仅 是 理论 上 的 ， 在 实际 中 并 
没有 观察 到 这 类 攻击 事件 ， 上 自私 控 矿 则 很 容易 被 检测 到 ， 因 为 这 种 策 
略 会 增加 同时 宣布 区 块 的 概率 。 


肢 名 单 与 惩罚 分 叉 攻 击 


如 果 一 个 矿工 想 把 一 个 来 自 地 址 X 的 交易 列 入 黑 名 单 ， 换 句 话 说 ， 
他 想 冻 结 从 该 地 址 出 来 的 钱 ， 让 这 些 钱 变 得 不 可 用 。 或 许 他 想 用 这 个 
办 法 来 敲诈 勒索 一 笔 钱 ， 或 许 他 们 之 间 有 贫 ， 还 有 可 能 是 政府 执法 音 
门 认为 那些 地 址 有 问题 ， 需 要 矿工 的 配合 来 冻结 这 些 币 。 


传统 观点 都 认为 在 比特 币 里 这 种 黑 名 单 没 有 办 法 有 效 施行 。 因 为 
即使 有 些 矿工 会 拒绝 把 交易 放 进 区 块 链 里 ， 其 他 一 些 矿工 可 能 会 。 如 


末 你 真 的 想 把 一 笔 交 易 列 入 墨 名 单 ， 你 可 以 尝试 其 他 一 些 更 加 激烈 的 
手段 ， 比 如 ， 惩 昼 分 又 (punitive forking) ,你 可 以 宣布 拒绝 在 包含 来 自 
该 地 址 的 交易 的 区 块 链 上 工作 。 如 采 你 拥有 大 部 分 市 场 运算 能 力 ， 那 
应 该 足以 保证 这 个 墨 名 单 上 的 交易 永远 不 会 被 公布 。 确 实 ， 在 这 种 情 
况 下 ， 其 他 矿工 很 有 可 能 不 会 再 试图 把 这 笔 交 易 放 入 区 块 链 里 ， 因 为 
这 么 做 有 可 能 使 得 他 们 上 自己 的 区 块 链 被 分 又 ， 这 会 导致 他 们 发 现 的 区 
块 被 删除 。 


羽 量 级 分 又 


如 和 没有 很 大 的 算 力 ， 上 述 的 几 个 分 叉 攻 击 在 现实 中 都 不 太 可 能 
实现 。 如 果 你 宣布 拒绝 接受 包含 某 些 特定 交易 的 区 块 链 ， 但 这 条 链 被 
网 络 上 的 其 他 矿工 所 接受 并 形成 最 长 链 的 话 ， 你 驶 会 发 现 目 己 被 永远 
排除 在 共识 链 之 外 〈 这 就 是 一 个 硬 分 又 ) ， 所 有 你 做 的 挖 矿工 作 统 统 
浪费 了 。 更 加 糟糕 的 是 ， 黑 名 单 上 的 交易 仍然 存在 于 最 长 的 区 块 链 
Ee 


换 句 话说 ， 考 虑 到 还 有 其 他 矿工 的 存在 ， 用 惩罚 分 又 把 特定 交易 
放 入 黑 名 单 的 手段 并 不 可 靠 。 然 而 ， 有 另 一 个 更 明智 的 方法 可 以 做 到 
这 一 点 。 与 其 一 看 到 从 地 址 X 里 出 来 的 交易 就 宣布 你 会 进行 永久 分 叉 ， 
不 如 宣布 你 将 会 尝试 分 又 ， 但 过 一 段 时 间 你 可 能 会 放弃 封杀 的 尝试 。 
例如 ， 你 可 以 宣布 ， 当 k 个 区 块 证 实 了 从 这 个 地 址 出 来 的 交易 是 正当 的 
时 候 ， 你 便 会 回 到 最 长 链 。[ 


如 琳 你 在 一 个 区 块 证 实 后 便 放 弃 ， 把 那 笔 从 地 址 X 出 来 的 交易 成 功 
封杀 的 概率 是 。 原 因 是 你 必须 要 在 其 他 矿工 找到 下 一 个 区 块 之 前 找 
到 连续 两 个 区 块 ， 这 样 才能 成 功 地 丢弃 那个 包括 地 址 Xx 交易 的 区 块 。oe 
征 你 连续 找到 两 个 区 块 的 概率 。 


o 这 个 概率 看 上 去 不 是 很 好 。 就 算 你 掌控 了 20% 的 全 网 算 力 ， 世 
只 有 4% 的 成 功 概率 来 封杀 那 笔 你 不 硕 望 出 现在 区 块 链 上 的 交易 。 但 这 
已 经 不 错 了 ， 人 至 少 你 还 有 可 能 说 动 其 他 矿工 来 加 入 你 。 只 要 你 把 你 的 
计划 公开 了 ， 其 他 矿工 便 会 知道 如果 他 们 胆敢 把 这 个 来 目地 址 X 的 交 
易 加 入 自己 的 区 块 ， 便 有 o 的 可 能 会 丧失 自己 已 经 发 现 的 区 块 [被 你 
的 羽 量 级 分 又 攻击 (feather forking) 所 消灭 | 。 只 要 他 们 不 是 有 很 强 
的 主观 意愿 把 这 个 交易 包括 进来 并 且 这 个 交易 没有 很 高 的 交易 费 ， 他 
们 可 能 更 愿意 规避 那 o 失掉 过 往 控 矿 奖励 的 风险 ， 而 不 是 获取 那 笔 交 
易 费 。 


这 束 演 化 为 ， 其 他 控 矿 者 经 过 理性 的 思考 ， 将 决定 加 入 你 对 X 地 址 
的 封杀 行动 ， 这 样 你 便 可 以 成 功 地 封杀 X 即 使 a<0.5。 所 以 这 个 攻击 要 
想 成 功 ， 重 点 在 于 确 你 其 他 矿工 相信 你 将 会 进行 分 义 攻 击 。 


途 渐 转移 到 用 交易 费 来 奖励 挖 矿 


直到 2015 年 ， 交 易 线 还 不 古 那 么 重要 ， 因 为 区 块 奖 励 在 矿工 忌 收 
入 里 占 比 超 过 99%。 但 每 4 年 ， 区 块 奖励 束 会 个 减 半 ， 最 终 区 块 奖励 将 
会 变 得 很 低 ， 低 到 交易 费 变 成 了 矿工 的 主要 收入 来 源 。 届 时 矿工 会 如 
何 应 对 还 属 未 知 。 他 们 会 不 会 更 加 激进 地 要 求实 行 最 低 交 易 费 ? 矿工 
会 不 会 联合 起 来 逼迫 比特 币 网 络 实行 最 低 交 易 费 制度 ? 


未 解 的 问题 


总 结 来 说 ， 理 论 上 矿工 可 以 目 由 地 选择 控 矿 的 策略 ， 但 在 实际 中 
我 们 观察 到 的 是 大 部 分 矿工 都 选择 了 默认 策略 来 挖 矿 ， 虽 然 没 有 完整 
的 模型 可 以 证 明 默 认 策略 (default strategy) 就 是 最 佳 的 。 在 本 章 中 ， 我 们 


讨论 过 儿 个 特定 案例 ， 有 大 量 算 力 的 矿工 有 可 能 执行 非 默 认 玉 上 略 来 获 
取 更 大 的 收益 。 在 欣 矿 策略 上 ， 实 践 是 领先 于 理论 的 。 在 实践 中 ， 大 
多 数 人 矿工 还 十 选择 了 默认 策略 ， 而 且 比 特 币 运行 得 也 很 好 。 但 是 ， 从 
理论 上 ， 我 们 还 无 法 论证 这 是 一 个 稳定 的 机 制 。 


默认 策略 能 人 否 在 实际 运行 中 一 直 保 持 有 效 ， 对 于 这 一 后 我 们 也 没 
有 把 握 。 比特 币 运行 所 依赖 的 现实 条 件 也 一 直 在 改变 。 矿 工 们 变 得 越 
来 越 中 心 化 和 专业 化 ， 整 个 系统 的 算 力也 越 来 越 大 。 男 外 ， 从 长 期 来 
看 ， 比 特 币 的 奖励 将 从 固定 的 控 矿 奖励 为 主 转变 为 区 易 费 为 主 。 我 们 
真 的 不 知道 这 将 会 如 何 演变 ， 基 于 博弈 理论 对 此 进行 预测 也 是 一 个 非 
党 有 趣 的 前 沿 研 究 领域 。 
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第 6 章 


比特 币 和 匿名 性 


比特 币 是 一 种 安全 并 且 匿 名 的 数字 货币 。 


比特 币 并 不 会 帮 你 躲避 国家 安全 局 的 窥探 。 


一 一 英国 有 线 


比特 币 最 有 争议 性 的 一 个 特性 ， 束 是 匿名 性 。 首 和 匈 ， 比 特 币 是 匿 
名 的 吗 ? 从 上 述 两 种 完全 相反 的 论调 可 以 看 到 ， 人 们 对 比特 币 匿 名 性 


存在 理解 上 的 困惑 。 其 次 ， 我 们 需要 加 密 数 字 货 币 


( crypto- 


currency) 做 到 完全 匿名 吗 ? 匿名 性 有 好 的 地 方 ， 也 有 不 好 的 地 方 ， 进 
而 引申 出 一 些 基 本 的 问题 : 加 密 数 字 货 币 的 匿名 性 对 持 有 者 有 花 处 
吗 ? 对 社会 有 没有 好 处 呢 ? 有 没有 一 种 方法 ， 可 以 让 匿名 性 只 发 挥 积 


极 正面 的 作用 ， 而 不 用 担心 它 的 负面 作用 呢 ? 


这 些 问 题 很 难 回答 ， 因 为 它们 取决 于 人 的 道德 价值 观 。 本 章 中 ， 
我 们 并 不 会 回答 这 些 问 题 ， 即 使 我 们 仍然 会 探讨 匿名 性 的 优 务 。 我 们 
将 主要 人 研究 探讨 各 种 技术 特性 ， 其 中 有 一 些 已 经 古 比 特 币 所 具备 的 ， 
还 有 一 些 是 为 增强 比特 币 的 匿名 性 ， 而 建议 比特 币 应 该 添加 的 技术 特 
性 。 我 们 也 会 对 其 他 一 些 具 备 不 同 匿名 扩 术 特性 的 加 密 数 字 货 币 进行 
人 研究。 这 些 拷 术 也 会 珊 来 新 的 问题 ， 比 如 它们 能 在 比特 币 或 者 其 他 加 
密 数 字 货 币 中 正常 工作 吗 ? 接受 这 些 特性 有 多 困难 ? 接受 这 些 特性 需 
要 对 现 有 的 技术 功能 做 出 哪些 取舍 ? 


6.1 匿名 的 基础 知识 


匿名 的 定义 


在 讨论 比特 币 古 否 具备 匿名 性 之 前 ， 我 们 需要 对 匿名 做 一 个 定 
义 。 我 们 需要 准确 地 理解 到 底 什 么 是 匿名 ， 以 及 它 与 其 他 一 些 相 似 术 
语 的 关系 ， 比 如 隐私 。 


匿名 和 化 名 (pseudonymity) 


在 其 他 你 可 能 更 熟悉 的 情形 下 ， 说 明 匿 名 和 单纯 的 化 名 的 区 
别 可 能 更 容易 。 其 中 一 个 很 好 的 例子 就 是 在 线 论坛 ， 在 一 个 类 似 
于 红 迪 (Reddit， 美 社交 新 闻 网 站 ) 的 论坛 中 ， 你 会 选择 一 个 自己 
常用 的 化 名 在 一 段 时 间 内 和 系统 进行 区 互 。 你 也 可 以 创建 多 个 化 
名， 甚至 每 一 条 评论 都 用 一 个 新 的 名 字 ， 但 那样 会 很 麻烦 ， 绝 大 
多 数 人 都 不 会 这 样 做 。 所 以 在 红 迪 这 样 的 论坛 里 ， 用 户 通常 都 会 
使 用 化 名 ， 但 又 不 是 完全 匿名 。 相 反 ， 在 4Chan (综合 型 讨论 区 ) 
这 种 在 线 论 坛 里 ， 用 户 通 常用 匿名 来 发 帖 ， 并 且 不 市 有 任何 标识 
性 属性 。 


从 字面 上 理解 ， 匿 名 的 意思 是 “没有 名 字 ”。 当 我 们 壬 试用 这 个 定 
义 来 说 明 比 特 币 的 匿名 特征 时 ， 会 有 两 种 不 同 的 诠释 : 在 交易 的 时 候 
不 使 用 真实 的 姓名 ， 或 者 在 交易 的 时 候 完 全 不 使 用 任何 名 字 。 比 特 币 


是 否 具备 匿名 性 ， 这 两 种 释义 会 市 来 两 种 完全 不 同 的 结论 。 比 特 币 的 
地 址 是 公 钥 哈 希 值 (hashes of publickeys) ， 在 与 比特 币 系统 交互 过 
程 中 ， 使 用 者 不 需要 使 用 真实 的 姓名 ， 但 是 需要 使 用 公 钥 哈 硕 值 来 作 
为 交易 标识 。 因 此 ， 按 照 第 一 种 对 匿名 的 释义 ， 比 特 币 是 具有 匿名 性 
的 ， 因 为 使 用 者 不 需要 使 用 真实 的 姓名 。 然 而 ， 如 果 根 据 第 二 种 释 
义 ， 比 特 币 并 不 具备 匿名 性 ， 因 为 交易 中 必须 使 用 的 地 址 是 一 种 虚假 
标识 。 在 计算 机 科学 语言 中 ， 这 种 不 用 真实 姓名 而 使 用 一 种 特定 标识 
的 折 中 做 法 被 称 为 化 名 。 


你 可 以 根据 你 的 需要 ， 随 意 创建 出 任意 多 个 比特 币 地 址 ， 考 虑 到 
这 一 点 ， 你 可 能 会 思考 比特 币 的 地 址 是 否 真 的 是 虚假 标识 ， 因 为 你 可 
以 创建 无 穷 多 的 化 名 ， 正 如 我 们 将 会 看 到 的 ， 这 并 不 能 让 比特 币 具备 
匿名 性 。 


在 计算 机 科学 中 ， 匿 名 指 的 是 具有 无 关联 性 (unlinkability) 的 化 
和 名， 无 关联 性 是 一 种 针对 每 定 攻 击 者 的 能 力 而 定义 的 属性 ， 从 直观 的 
意思 看 ， 无 关联 性 意味 着 如 采 一 个 用 户 和 系统 重复 进行 交互 ， 从 特定 
攻击 者 的 角度 考虑 ， 不 同 的 交互 行为 之 间 应 该 无 法 互相 关联 。 


比特 币 是 具备 化 名 性 的 ， 但 如 果 你 的 目的 是 要 求 绝 对 隐私 ， 那 么 
这 种 匿名 性 还 不 够 。 区 块 链 技术 十 一 种 公开 的 账本 系统 ， 任 何人 都 可 
以 查询 包含 了 给 定 地 址 的 所 有 比特 币 交 易 。 如 条 有 人 可 以 用 你 的 比特 
币 地 址 链接 到 你 的 真实 身份 ， 那 么 所 有 你 的 比特 币 交 易 记录 一 一 不 管 
征 过 去 的 、 现 在 的 ， 还 是 未 来 的 一 一 都 能 关联 到 你 的 真实 号 份 。 


更 加 糟糕 的 是 ， 把 比特 币 地 址 和 真实 身份 链接 起 来 并 不 困难 。 如 
果 你 跟 某 一 种 比特 币 业 务 有 关联 一 一 不 管 是 一 个 在 线 电子 钱包 服务 ， 
还 是 其 他 接受 比特 币 的 商家 或 交易 所 ， 通 党 你 都 需要 提供 你 的 真实 喘 
份 以 完成 相关 交易 。 比 如 ， 交 易 中 通 党 都 需要 你 提供 信用 卡 信 息 ， 或 
者 商家 需要 你 提供 真实 地 址 以 便 送 货 上 | 。 


或 者 你 去 咖啡 馆 喝 杯 咖啡 ， 然 后 用 比特 币 来 文 付 。 由 于 你 已 经 出 
现在 店铺 里 ， 咖 啡 师 对 你 的 喘 份 特征 已 经 有 了 非常 多 的 了 解 ， 即 使 他 
们 没 问 你 的 真实 姓名 。 你 的 物理 标识 就 这 样 和 你 的 某 个 比特 币 交 易 联 
系 到 了 一 起 ， 从 而 可 以 由 这 个 地 址 追踪 到 你 所 有 的 其 他 比特 币 交 易 。 
这 显然 不 具备 匿名 性 。 


入 路 攻击 (side channels ) 


即使 没有 发 生 直 接 的 关联 ， 因 为 侧面 渠道 或 者 一 些 间接 的 信息 泄 
露 ， 你 的 匿名 身份 也 可 能 会 被 骏 露 (deanonymized) 。 举 个 例子 ， 某 
个 人 看 过 一 个 匿名 的 比特 币 交 易 记 录 ， 并 且 注 意 到 了 这 个 比特 币 交 易 
的 活路 时间， 那么 他 束 可 以 将 这 个 时 间 信 息 与 其 他 公开 可 获得 的 信息 
关联 到 一 起 。 可 能 他 会 注意 到 在 同一 个 时 间 某 一 个 推荐 用 户 也 出 于 活 
路 状态 ， 那 么 就 可 以 建立 一 个 匿名 的 比特 币 资 料 和 一 个 真实 世界 的 用 
户 (至 少 是 一 个 推 特 账号 ) 之 间 的 关联 。 很 显然 ， 这 样 的 匿名 性 并 不 
能 保障 隐私 或 者 绝对 匿名 。 要 想 做 到 绝对 匿名 ,我们 需要 更 强 的 无 关 
联 性 属性 。 


无 关联 性 


为 了 更 扎实 地 理解 比特 币 范畴 中 的 无 关联 性 特征 ， 我 们 可 以 列举 
一 些 在 比特 币 交 易 中 无 关联 性 所 需要 的 关键 属性 : 
1. 同 一 个 用 户 的 不 同 地 址 应 该 不 易 关 联 。 


2. 同 一 个 用 户 的 不 同 交 易 应 该 不 易 关 联 。 


3. 一 个 交易 的 交易 双方 应 该 不 易 关 联 。 


十 述 第 一 条 和 第 一 条 很 容易 理解 但 第 三 条 比较 微妙 。 如 果 你 把 

ee 那么 第 三 条 属性 很 明显 就 是 一 个 
pe 笔 交 易 都 有 输入 和 输出 ， 这 些 输入 和 输出 都 不 可 避免 地 
ee en 起 。 然 而 ， 我 们 所 指 的 
支付 并 不 仅仅 是 一 笔 比 特 币 交易 ， 而 是 指 任何 一 种 从 发 送 者 到 接收 者 
的 传输 比特 币 的 行为 ， 这 种 行为 可 能 会 涉及 一 系列 的 间接 迁 回 交易 。 
我 们 需要 确保 ， 通 过 查询 区 块 链 上 的 信息 将 发 送 者 和 最 终 的 接收 者 关 
联 在 一 起 ， 是 不 可 行 的 。 


匿名 集 


即使 我 们 对 文 付 做 出 更 加 宽泛 的 定义 ， 第 三 条 属性 看 起 来 也 比较 
难以 实现 。 比 如 说 ， 你 支付 一 定数 量 的 比特 币 来 购买 某 个 商品 ， 并 且 
a i 其 他 人 通过 查看 区 块 链 上 的 
言 轧 ， 还 是 可 以 推 呆 出 某 个 比特 币 地 址 上 减少 了 一 定数 量 的 比特 币 ， 
而 另外 一 个 地 址 上 增加 了 差不多 相同 数量 的 比特 币 (可 能 会 扣除 相应 
的 交易 费用 ) 。 此 外 ， 尽 管 传输 是 通过 迁 回 曲折 的 路 径 ， 初 始 发 送 方 
发 送 比特 币 和 最 终 搂 收 方 接受 比特 币 基 本 上 发 生 在 同一 个 时 间 段 ， 因 
为 商家 不 太 愿 意 接受 延迟 付款 。 


基于 这 样 的 困难 ， 我 们 通常 并 不 试图 在 系统 中 ， 对 所 有 可 能 的 交 
易 或 者 地 址 都 实现 完全 的 无 关联 性 ， 而 是 去 实现 更 有 限度 的 无 关联 
性 。 想 象 一 个 特定 的 攻击 者 的 情况 ， 你 的 交易 匿名 集 (anonymity 
set) 是 指 该 攻击 者 无 法 把 你 的 交易 从 其 中 分 辨 出 来 的 交易 集合 。 即 使 
该 攻击 者 知道 你 完成 了 一 个 交易 ， 但 是 他 也 仅仅 知道 这 个 交易 是 茶 一 
个 合集 中 的 一 个 ， 但 并 不 能 确定 是 哪 一 个 。 我 们 只 需要 努力 去 最 大 化 


这 个 匿名 合集 就 可 以 了 一 一 在 这 个 合集 中 ， 我 们 可 以 隐藏 我 们 的 地 址 


统计 匿名 集 是 很 微妙 的 ， 由 于 这 样 的 匿名 集 是 针对 某 一 个 或 者 一 
组 攻击 者 而 定义 的 ， 所 以 你 首先 需要 具体 定义 你 的 对 手 模 型 是 怎样 
的 。 你 必须 要 仔细 思考 对 手 已 知 和 未 知 的 内 容 ， 以 及 我 们 需要 隐藏 的 
内 容 一 一 也 就 是 说 ， 如 末 要 达到 匿名 性 目标 ， 交 易 中 的 那些 信息 是 不 
能 被 对 手 知 道 的。 没有 成 熟 的 公式 告诉 你 该 怎么 做 ， 需 要 根据 每 一 个 
具体 情况 仔细 分 析 相 对 应 的 协议 和 系统 。 


污点 分 析 (taint analysis) 


在 比特 币 社区 中 ， 人 们 通常 根据 直觉 推断 匿名 性 ， 而 非 严 格 的 定 
义 。 污 点 分 析 束 是 一 种 非常 流行 的 方式 : 这 是 一 种 推算 两 个 地 址 相关 
性 的 方法 。 如 采 地 址 S 发 送出 的 比特 币 总 是 地 址 R 接 收 ， 那 么 不 管 是 直 
接 抵达 ， 还 是 经 过 了 多 少 中 间 地 址 ，S 和 R 则 被 定义 为 具有 高 分 污点 。 
污点 分 析 的 计算 公式 ， 适 用 于 多 个 输入 和 (或 ) 输出 的 交易 ， 并 且 确 
定 如 何 分 配 污点 的 规则 。 


遗憾 的 是 ， 污 点 分 析 也 不 古 一 个 衡量 比特 币 匿名 性 的 好 方法 。 它 
只 是 简单 地 认定 对 手 在 使 用 相同 的 计算 方式 在 关联 成 对 的 地 址 。 稍 微 
聪明 一 点 的 对 手 会 使 用 不 同 的 技巧 ， 比 如 查询 交易 时 间 ， 或 者 本 草 后 
面 我 们 会 讲 的 利用 钱包 软件 的 特性 。 所 以 ， 污 点 分 析 可 能 只 会 显示 你 
在 某 种 特定 情况 下 具备 的 匿名 性 ， 而 事实 上 可 能 并 不 准确 。 


为 什么 需要 匿名 性 


了 解 了 匿名 性 意味 着 什么 之 后 ， 在 我 们 进入 更 深入 的 探讨 之 前 ， 
让 我 们 来 回答 一 下 有 关 匿 名 性 的 根本 问题 : 为 什么 人 们 需要 匿名 性 ? 
拥有 匿名 性 的 货币 有 哪些 伦理 道德 方面 的 意义 ? 


在 区 块 链 货币 中 ， 所 有 交易 都 被 记录 在 一 个 公共 账本 上 ， 也 束 是 
说 ， 这 些 记 录 都 是 公 开 的 ， 并 且 可 根据 相关 地 址 进行 永久 追 踩 ， 因 
此 ， 你 的 比特 币 交 易 的 隐私 保护 可 能 会 比 传统 的 银行 更 糟 糙 。 如 采 你 
的 真实 身份 被 关联 到 一 个 比特 币 地 址 ， 那 么 你 就 完全 失去 了 所 有 交易 
的 隐私 一 一 不 管 是 过 去 的 、 现 在 的 ， 还 是 未 来 的 一 一 只 要 是 和 这 个 地 
址 相关 联 的 交易 。 由 于 区 块 链 征 公开 可 用 的 ， 确 切 地 说 ， 任 何人 都 有 
可 能 在 你 不 知道 的 情况 下 识别 你 的 喘 份 。 


考虑 到 这 一 点 ， 我 们 可 以 认定 两 种 不 同 的 需要 匿名 加 密 数 字 货 币 
的 动机 : 第 一 种 是 ， 达 到 我 们 习惯 的 传统 银行 给 我 们 的 隐私 保护 级 
别 ， 降 低 公 共 区 块 链 所 市 来 的 信息 骏 露 风险 ;第 二 种 是 ， 要 超越 传统 
银行 给 我 们 的 隐私 保护 级 别 ， 进 一 步 开 发 数字 货币 ， 使 其 从 技术 上 实 
现任 何人 不 能 轻易 追 踩 参 与 者 。 


匿名 性 的 道德 问题 


我 们 有 很 多 非常 重要 的 理由 〈 虽 然 经 常 被 忽视 ) 需要 匿名 性 ， 传 
统货 币 已 经 让 我 们 对 这 种 匿名 性 习以为常 。 大 多 数 人 都 不 愿意 与 朋友 
以 及 同事 分 诗 他 们 的 工资 收入 状况 ， 如 果 你 的 工资 是 用 区 块 链 比 特 币 
文 付 的 ， 而 且 该 区 块 链 上 的 地 址 很 容易 被 识别 ， 那 么 我 们 只 需要 关注 
每 个 月 定期 的 大 额 文 付 记 录 ， 囊 能 很 容易 地 推断 出 你 的 工资 情况 。 企 
业 组 织 也 有 非常 重要 的 财务 隐私 顾虑 ， 例 如 ， 一 家 电玩 游戏 生产 商 被 
发 现在 区 块 链 上 文 付 给 了 一 个 分 包 商 ， 而 这 个 分 包 商 是 专 门生 产 虚 拟 
现实 眼镜 的 ， 那 也 意味 着 它们 要 推出 的 新 游戏 可 能 会 被 公众 (也 包括 
其 竞争 对 手 ) 提前 知晓 。 


然而 ， 真 正 合 理 的 顾虑 是 ， 匿 名 加 密 数 字 货 币 可 以 被 用 作 洗钱 或 
者 从 事 其 他 非法 活动 。 即 使 加 密 数 字 货 币 的 交易 本 吴 可 能 是 匿名 的 ， 
数字 货币 和 法 定货 币 之 间 的 接口 却 无 法 做 到 匿名 ， 这 可 以 说 是 一 个 好 
消 上 已。 事实 上 ， 我 们 将 在 下 一 个 章 市 讨论 中 看 到 ， 这 些 数字 货币 和 法 
定货 币 之 间 的 兑换 和 流动 被 挛 格 监管 者 。 因 此 加 密 数 字 货 币 也 不 是 洗 
线 或 者 其 他 金融 犯罪 的 灵丹妙药 。 


然后 有 人 可 能 会 问 : 我 们 是 否 可 以 设计 出 一 种 搁 术 ， 这 种 技术 只 
允许 使 用 好 的 匿名 ， 而 禁止 坏 的 匿名 呢 ? 事实 上 ， 计 算 机 安全 和 隐私 
方面 的 研究 者 一 直 在 探索 这 个 问题 的 答案， 遗憾 的 是 ， 从 来 距 没有 可 
行 的 方案 ， 因 为 我 们 用 道德 标准 分 辨 出 的 好 坏 ， 对 计算 机 技术 来 说 ， 
征 没有 办 法 区 分 的 。 在 比特 币 系统 中 ， 如 何 让 矿工 按照 道德 标准 去 判 
定 哪些 交易 应 该 被 发 布 到 区 块 链 中 ， 目 前 还 是 无 法 实现 的 。 


我 们 的 观点 是 ， 司 用 匿名 加 密 数 字 货 币 是 有 洪 在 好 处 的 ， 这 也 是 
其 得 以 存在 的 原因 ， 同 时 ， 对 于 系统 的 技术 匿名 属性 和 在 使 用 货币 时 
应 该 遵守 的 法 律 规范 ， 我 们 应 该 加 以 区 分 。 匿 名 加 密 数 字 货 币 并 不 是 
一 个 完美 的 解决 方案 ， 但 可 能 是 最 优 的 一 种 折 中 方案 。 


匿名 化 和 去 中 心 化 


在 本 章 中 ， 我 们 会 看 到 很 多 次 有 关 匿 名 化 和 去 中 心 化 的 讨论 ， 通 
常 这 两 点 是 相互 矛盾 甚至 冲突 的 。 回 忆 一 下 前 言 部 分 提 到 过 的 齐 姆 
(Chaum) 的 电子 现金 系统 ， 它 在 一 定 意义 上 实现 了 完美 的 匿名 性 ， 
不 过 必须 依赖 一 个 中 央 权 威 机 构 一 一 银行 的 讶 签名 协议 。 设 想 一 下 ， 
这 样 的 协议 的 去 中 心 化 将 会 非常 困难 。 如 采 我 们 强制 进行 去 中 心 化 ， 
忠 必 须要 有 一 种 能 够 追踪 交易 并 且 防 止 双重 支出 的 机 制 。 交 易 的 这 种 
公开 退 踪 特 性， 就 是 对 匿名 化 的 一 种 威胁 。 
[人 人 人 人 人 人 | 


Tort! 


如 何 处 理 一 个 有 好 坏 两 面 性 的 技术 ， 比 特 币 并 不 是 唯一 一 个 
面临 这 种 道德 上 两 难 选 择 问 题 的 技术 。 男 外 一 个 匿名 性 设 定 有 和 争 
议 的 系统 是 Tor， 一 个 匿名 通信 网 络 。 

一 方面 ，Tor 的 用 户 只 是 一 些 普 通信 ， 怒 你 护 他 们 在 网 络 上 上 不 
被 跟 跃 。 其 用 户 包 括 记 者 、 社 会 活动 家 和 持 不 同 政见 着 等 ， 他 们 
退 求 在 互联 网 上 的 言论 目 由 而 不 用 担心 政治 迫害 。 同 时 ， 执 法 部 
门 的 探 员 也 使 用 这 个 系统 ， 监 控 在 线 嫌 疑犯 ， 而 不 会 泄露 他 们 的 IP 
地 址 “毕竟 ， 大 家 都 知道 IP 地 址 是 根据 不 同 的 组 织 机 构 来 分 配 的 ， 
包括 执法 部 门 ) 。 很 显然 ，Tor 有 很 多 应 用 场景 是 我 们 从 道德 上 认 
可 的 。 男 一 方面 ， 它 也 还 有 一 些 不 好 的 应 用 场景 ， 有 人 用 其 运作 
僵尸 网 络 来 控制 一 些 被 感染 的 电脑 ， 进 而 用 来 传播 泽 秘 等 非法 图 
片 。 

要 想 从 技术 角度 去 区 分 这 些 使 用 场景 ， 基 本 上 是 不 可 能 的 。 
Tor 的 开发 者 以 及 社区 一 直 在 竹 试 解决 这 个 难题 ， 全 社会 也 在 努力 
尝试 。 我 们 似乎 可 以 总 结 一 下 ， 整 体 而 言 ， 这 样 的 技术 利 大 于 
束 ， 实 际 上 ，Tor 主 要 的 投资 方 之 一 丈 是 美国 政府 ， 其 投资 兴趣 在 
于 ，Tor 可 以 让 不 同 政见 着 在 互联 网 上 发 表 目 由 言论 ， 而 不 用 担心 
政治 迫害 。 同 时 ， 执 法 部 门 也 勉强 接受 Tor 的 存在 ， 其 至 还 开发 了 
使 用 这 个 平台 的 方法 。FBI 也 经 负 会 查封 一 些 在 “法 蜡 网 络 " 上 非法 
传播 色情 图 片 的 网 站 ， 即 使 这 些 网 站 也 使 用 了 Tor 的 平台 ， 多 数 情 


况 是 ， 这 些 网 站 的 运 写 者 被 绳 之 以 法 。 我 们 必须 要 记 住 ， 技 术 仅 
仅 古 工具 ， 而 那些 犯罪 分 子 生活 在 现实 世界 里 ， 并 可 能 留 下 各 种 
犯罪 证 据 ， 或 者 在 使 用 这 些 工 具 的 时 候 犯 一 些 人 为 错误 。 


在 本 章 6.5 玫 中 ， 我 们 会 探讨 零 币 (Zerocoin) 和 有 零 钞 
(Zerocash) ， 这 是 一 种 匿名 化 并 且 去 中 心 化 的 加 密 数 字 货 币 系统 ， 
有 点 类 似 于 乔 姆 的 电子 货币 (ecash) ， 但 是 因为 上 述 两 个 限制 ， 它 们 

需要 找到 合适 的 方法 ， 以 解决 坏 手 的 加 蜜 问题。 


[1] The Onion Router， 洋 和 莹 路 由 ， 用 户 通过 Tor 可 以 在 互联 网 上 进行 匿名 交流 。 译 者 
注 


6.2 如 何 对 比特 币 去 匿名 化 


我 们 已 经 强调 过 很 多 次 比特 币 仅仅 是 一 个 化 名 系统 ， 所 以 你 所 有 
的 交易 记录 或 者 交易 地 址 很 有 可 能 被 关联 在 一 起 。 让 我 们 再 进一步 讨 
论 这 种 关联 征 怎 么 发 生 的 。 


图 6.1 展 示 了 维基 解密 的 捐款 页 面 上 的 一 个 片段 《包括 本 草 开头 的 
时 候 就 引用 的 一 段 ) ， 请 注意 那个 在 比特 币 地 址 劳 边 的 刷新 按钮 。 可 
能 你 会 期 望 通过 点 击 这 个 刷新 按钮 ， 束 会 把 接收 捐 球 的 地 址 换 成 一 个 
全 新 生成 的 地 址 。 类 似 地 ， 如 果 你 刷新 页 面 或 者 关闭 这 个 页 面 ， 重 新 
再 打开 的 时 候 ， 这 个 地 址 也 会 重新 生成 ， 而 且 是 之 前 没有 出 现 过 的 。 
这 是 因为 ， 维 基 解 密 需要 保证 每 接收 一 笔 新 的 捐款 ， 都 会 对 应 一 个 新 
创设 的 仅 用 于 此 笔 捐 款 的 公 钥 。 维 基 解 密 这 么 做 就 是 最 大 限度 地 利用 
了 可 以 创建 新 化 名 功能 的 作用 。 这 事实 上 就 古 比特 币 钱 包 实现 匿名 性 
的 最 好 途径 。 


比特 币 是 一 个 安全 的 匿名 数字 货币 系统 ， 不 容易 被 追踪 ,并 且 是 一 种 有 别 于 其 他 捐款 
方式 的 、 更 加 安全 和 快速 的 方法 。 你 可 以 发 送 比特 币 到 以 下 地 址 进行 捐款 : 
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图 6.1 维基 解密 的 捐款 页 面 的 一 个 片段 
注 : 请 注意 那个 在 比特 币 地 址 旁边 的 刷新 按钮 。 维 基 解 密 遵 循 了 为 每 一 笔 捐 款 生 成 一 个 新 接收 
地 址 的 比特 币 匿名 化 的 最 佳 实践 。 


你 可 能 觉得 这 些 不 同 的 地 址 一 定 是 无 法 关联 的 ， 维 基 解 密 收 到 的 
不 同 的 捐款 是 完全 分 开 的 ， 并 且 推 测 它们 可 以 分 开 使 用 每 一 笔 捐款 ， 


但 事实 并 非 如 此 。 


天 联 性 〈linking) 


假设 爱丽 丝 想 要 去 买 一 个 茶壶 ， 价 格 是 8 个 比特 币 (可 能 根据 2015 
年 的 比特 币 价格 ， 实 际 情况 应 该 是 8 分 比特 币 ，1 个 =100 分 ) 。 进 一 步 
假设 ， 她 的 比特 币 分 在 三 个 不 同 的 地 址 里 面 ， 分 别 有 3、5 和 6 个 比特 
币 。 实 际 上 ， 爱 丽 丝 没有 一 个 比特 币 地 址 有 足够 的 8 个 比特 币 ， 她 必须 
要 把 两 个 输出 合并 成 一 个 单 体 输入 ， 以 支付 给 店铺 。 


隐形 地 址 


假设 鲍 勃 要 通过 他 的 网 站 还 有 广告 牌 来 宜 传 他 的 捐赠 地 址 。 现 
人 
地 ， 接 收 现场 捐款 的 这 个 地 址 会 很 容易 连接 到 鲍 狐 的 站 点 。 

能 够 利索 地 解决 这 个 问题 的 办 法 ， 是 利用 隐形 地 址 (stealth 
addresses) 。 它 允许 收 件 人 鲍 动 发 布 一 个 静态 “永久 ”的 地 址 ， 任 何 
发 件 人 比如 爱丽 丝 ) 由 此 可 以 派生 出 新 的 地 址 ， 该 地 址 的 私 钥 只 
有 鲍 芝 知道 。 

这 是 如 何 做 到 的 呢 ? 回忆 一 下 椭圆 曲线 数字 签名 算法 

(ECDSA) 中 的 公 钥 的 函数 形式 是 gx ， 其 中 的 x 是 私 钥 ， 地 址 函数 
是 H(gx )。 为 了 启用 隐形 地 址 ， 鲍 动 需要 广告 公 钥 本 映 ， 而 不 是 长 
度 更 短 的 哈 希 值 。 然 后 ， 爱 丽 丝 可 以 选取 一 个 随机 数值 r, 计算 (gx 
Jr=gxr ,并 且 将 钱 汇 给 这 个 公 铀 。 如 采 爱 丽 丝 能 够 单独 将 数值 [发 送 
给 鲍 动 ， 鲍 动 束 可 以 计算 出 正确 的 私 钥 xr， 将 汇 到 公 钥 gxr 的 钱 花 
| 

这 种 方法 并 不 完美 ， 因 为 爱丽 丝 需要 将 数值 r 发 送 给 鲍 勒 ， 而 
且 还 假定 即使 鲍 莪 不 在 线 ， 比 特 币 交易 照样 运行 。 为 了 解决 这 个 问 


题 ， 还 有 更 复杂 的 协议 ， 让 爱丽 丝 能 够 有 歼 地 将 数值 r 舱 入 比特 币 
交易 本 喘 。 随 后 ， 鲍 勃 可 以 扫 撒 区 块 链 ， 检 测 针 对 他 的 交易 ， 并 恢 
复 私 铀 。 黑 蜡 钱 包 中 使 用 了 这 种 方法 ， 该 钱包 设计 时 旨 在 增强 隐 
私 ， 并 且 类 似 的 想法 在 加 密 签 名 (CryptoNote) 这 种 另类 币 中 有 所 
| 


那么 问题 来 了 ， 这 笔 交 易 会 在 区 块 链 网 络 里 有 一 个 永久 的 记录 ， 
任何 看 到 这 个 记录 的 人 都 可 以 推 新 ， 这 两 个 输入 型 交易 很 有 可 能 走 
同一 个 用 户 控制 的 。 换 名 话说， 共享 型 消费 ， 成 为 不 同 输入 地 址 联合 
控制 的 证 据 。 当 然 也 可 能 存在 例外 ， 有 可 能 爱丽 丝 和 鲍 劲 是 同 寝室 的 
有 朋友， 决定 一 起 联合 购买 这 个 茶 伙 ， 并 且 分 开 付 款 。 但 是 ， 大 体 来 
说 ， 共 同 输入 基本 上 意味 着 共同 控制 。 


请 8 
加 
单一 交易 


图 6.2 多 地 址 输入 交易 
注 : 为 了 支付 购买 茶壶 的 钱 ， 爱 丽 丝 从 两 个 不 同 的 比特 币 地 址 创建 了 一 个 单一 交易 。 这 样 爱丽 
丝 就 暴露 了 一 个 事实 ， 即 一 个 个 体 控制 了 两 个 不 同 的 地 址 。 


还 不 仅仅 如 此 ， 攻 击 者 可 以 重复 上 述 过 程 ， 从 而 一 步 一步 将 这 个 
个 体 所 进行 的 所 有 交易 关联 起 来 。 如 有 果 另 外 一 个 地 址 也 关联 到 了 爱丽 
丝 用 于 交易 的 两 个 地 址 之 一 ， 那 我 们 融 知 道 所 有 三 个 地 址 都 属于 同一 
个 个 体 ， 我 们 可 以 因此 建立 一 个 地 址 簇 (clustering of addresses)。 一 般 


来 说 ， 如 果 一 个 新 地 址 的 输出 ， 和 该 地 址 簇 中 的 任何 一 个 已 知 地 址 被 
一 起 花费 ， 那 么 这 个 新 的 地 址 也 将 会 被 加 到 该 地 址 艇 中 去 。 


在 本 章 6.4 廊 ， 我 们 将 会 探讨 一 种 叫 合 币 (CoinJoin) 的 匿名 技术 ， 
该 技术 的 工作 原理 打破 了 上 述 设 想 。 但 是 到 目前 为 止 ， 对 没有 使 用 特 
别 匿名 技术 的 普通 比特 币 钱包 用 户 ， 这 种 簇 技术 还 十 非常 有 效 的 。 接 
下 来 ， 我 们 很 快 将 会 讨论 如 何 把 这 种 地 址 入 关联 a 到 现实 世界 的 映 份 。 


零钱 地 址 (change address) 的 随机 化 


早期 版 本 的 比特 币 类 库 [Bitcoin-Qt library， 现 在 又 称 为 比特 币 
中 心 (Bitcoin Core) ] 存 在 一 个 缺陷 ， 对 有 两 个 输出 地 址 的 交易 ， 
它 总 把 存放 零钱 的 输出 地 址 放 在 第 一 个 ， 这 意味 着 很 容易 分 辨 出 很 
多 交易 中 的 零钱 地 址 。 这 个 缺陷 在 2012 年 得 到 了 修复 ， 但 是 重点 在 
于 : 钱包 软件 在 保护 匿名 性 中 扮演 着 非常 重要 的 角色 ， 如 果 你 正在 
开发 钱包 软件 ， 你 需要 格外 注意 很 多 陷阱 ， 尤 其 是 你 需要 保证 零钱 
地 址 的 位 置 应 该 永远 是 随机 的 ， 以 避免 为 攻击 者 留 下 太 多 信息 。 


再 回头 看 一 下 我 们 的 例子 。 假 设 这 个 共有 的 价格 从 8 个 比特 币 上 涨 
到 了 8.5 个 比特 币 ， 爱 丽 丝 发 现 ， 未 用 完 的 支出 账号 里 无 法 再 组 合生 成 
恰好 可 以 支付 这 个 茶壶 所 需要 的 金额 了 。 取 而 代 之 的 方案 是 ， 爱 丽 丝 
利用 交易 可 以 有 多 重文 出 的 特性 ， 如 图 6.3 所 示 ， 文 出 的 其 中 之 一 就 古 
人 东亚 店铺 的 接收 地 址 ， 而 男 外 一 个 则 是 爱丽 丝 目 己 的 “ 找 零 地址。 


现在 从 其 他 人 的 视角 来 看 这 笔 交 易 ， 他 们 可 以 推断 出 这 两 个 输入 
地 址 都 属于 同一 个 用 户 ， 他 们 甚至 可 能 怀疑 其 中 一 个 支出 地 址 也 属于 
这 个 用 户 ， 但 是 无 法 知道 具体 是 哪 一 个 。 事 实 上 0.5 个 比特 币 虽 然 比 其 
他 的 支出 小 ， 但 是 并 不 意味 着 这 是 一 个 零钱 地 址 ， 爱 丽 丝 可 能 有 10 000 


个 比特 币 参 与 了 交易 ， 其 中 她 支付 了 8.5 个 比特 币 用 于 购买 茶 痰 ， 而 把 
剩余 的 9 991.5 个 比特 币 找 零 退回 给 了 目 己 。 在 这 样 的 场景 中 ， 更 大 的 
输出 才 十 实际 上 的 找 零 地 址 。 
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图 6.3 零钱 地 址 
注 : 为 了 文 付 购买 茶壶 的 钱 ， 爱 丽 丝 创 建 了 一 个 交易 ， 这 个 交易 中 的 一 部 分 比特 币 去 了 商家 的 


钱包 ， 而 剩余 的 部 分 作为 零钱 退回 给 了 她 自己 


另外 一 种 更 好 的 解释 是 ， 如 有 果 茶 壶 只 需要 人 花费 0.5 个 比特 币 ， 由 于 
不 管 是 3 个 比特 币 还 是 6 个 比特 币 的 输入 地 址 ， 都 足够 用 来 文 付 了 ， 爱 
丽 丝 根 本 不 需要 创建 两 个 不 同 输入 组 成 的 交易 。 但 是 ， 选 择 哪 种 交易 
方式 完全 取决 于 通 第 使 用 的 钱包 软件 的 特性 ， 即 使 不 是 非常 有 必要 ， 
钱包 (或 者 是 用 户 ) 还 是 可 以 随意 组 合 不 同 交 易 地 址 中 的 比特 币 来 完 
成 文 付 的 。 


惯用 法 则 


这 种 类 型 的 实施 细节 被 称 为 “惯用 法 则 *(idioms of use)。2013 年 ， 
一 组 研究 人 员 发 现 了 大 多 数 钱包 软件 都 在 使 用 的 惯用 法 则 ， 并 推导 出 
一 种 用 来 鉴定 零钱 地 址 的 强大 方法 。 具 体 而 言 ， 钱 包 在 有 需要 的 时 候 
都 会 生成 一 个 全 新 的 地 址 ， 因 为 这 种 惯用 法 则 的 使 用 ， 这 些 新 的 地 址 


通 闻 都 是 从 来 没有 在 区 块 链 网 络 出 现 过 的 。 换 句 话 讽 ， 非 零钱 地 址 通 
常 都 不 是 新 地 址 ， 而 是 已 经 在 区 块 链 网 络 里 出 现 过 的 ， 那 么 其 他 人 就 
可 以 利用 这 个 特性 去 分 辩 零 钱 地 址 ， 并 把 它 和 输入 地 址 相关 联 。 


依赖 惯用 法 则 来 推测 零钱 地 址 可 能 会 出 错 。 事 实 上 ， 和 零钱 地 址 是 
新 地 址 这 一 特性 不 过 恰巧 是 钱包 软件 的 一 个 特性 。 在 2013 年 妍 究 者 测 
试 的 时 候 发 现 确 实 征 这样， 现在 可 能 还 是 ， 但 也 有 可 能 不 再 如 此 了 。 
用 户 可 以 选择 履 兰 掉 原 来 的 玖 认 设 定 ， 最 重要 的 是 ， 当 对 于 了 解 了 这 
种 技术 的 时 候 就 可 以 很 容易 回避 ， 即 使 是 在 2013 年 ， 研 究 者 也 发 现 这 
种 特征 也 会 经 党 产生 误 报 ， 按 照 这 种 规则 可 以 归 到 一 个 禾 的 地 址 ， 不 
一 定 是 属于 同一 个 个 体 的 。 研 究 者 声称 ， 他 们 需要 大 量 的 人 工 监督 和 
干预 才能 去 除 这 些 误 报 。 


天 联 真 实 世 弄 的 号 份 到 地 址 复 


在 图 6.4 中 ， 我 们 可 以 看 到 ， 米 克 尔 :约翰 (Meikle John) 等 人 是 如 
何 利用 惯用 法 则 这 样 的 局 发 式 算 法 来 聚 类 比特 币 地 址 的 ， 但 是 这 种 簇 
没有 标签 一 一 也 就 是 说 ， 我 们 还 没有 关联 一 个 真实 的 身份 到 这 个 艇 。 


图 6.4 地 址 簇 
注 : 摘自 2013 年 的 一 篇 论文 “一 把 比特 币 ， 寻找 支付 特征 >”。 在 一 组 没有 姓名 的 用 户 中 ， 研 究 者 


将 联合 文 付 的 地 址 和 全 新 的 零钱 地 址 归 类 到 一 个 比特 币 地 址 复 。 图 中 ， 圆 形 的 大 小 表示 流入 这 
些 地 址 香里 的 货币 数量 ， 每 一 条 线 则 代表 一 个 交易 。 


我 们 可 以 根据 所 了 解 的 比特 币 经 济 情 况 来 做 一 个 合理 的 推测 。 回 
到 2013 年 ， 门 头 沟 公 司 曾经 是 最 大 的 比特 币 交 易 所 ， 所 以 我 们 可 以 猜 
测 图 中 较 大 的 圆圈 代表 的 就 是 该 交易 所 控制 的 地 址 ， 我 们 可 能 也 注意 
到 ， 图 中 左 侧 的 深 色 的 圆圈 代表 了 很 小 的 比特 币 总 量 ， 但 同时 又 有 非 
党 大 的 交易 量 ， 这 个 特性 很 符合 叫 作 中 本 聪 之 从 (Satoshi Dice) 的 在 
线 比特 币 博彩 游戏 ， 这 个 游戏 中 ， 你 可 以 发 送 微小 量 的 比特 币 作为 赠 
注 。 总 的 来 次， 这 并 不 是 一 个 很 好 的 方法 来 辨识 地 址 复 ， 这 需要 很 多 
背景 知识 和 推测 ， 可 能 仅仅 对 特征 比较 显著 的 案例 有 效 。 


利用 交易 进行 标记 


如 人 仅仅 征 通 过 访问 交易 所 或 着 商家 的 网 站 ， 以 查询 其 公布 的 接 
收 比 特 币 的 地 址 ， 会 怎么 样 呢 ? 这 其 实 没有 实际 意义 。 因 为 大 多 数 服 
务 提供 商都 会 针对 每 一 个 交易 公布 一 个 新 的 地 址 ， 而 这 个 新 地 址 还 没 
有 公布 在 区 块 链 网 络 上 ， 等 待 这 些 地 址 发 生 交易 没有 意义 ， 因 为 这 些 
地 址 通常 不 会 再 显示 给 其 他 人 。 


唯一 可 徘 的 推断 地 址 的 方法 ， 是 通过 和 这 些 服务 提供 商 发 生 一 个 
实际 的 交易 ， 交 存 比 特 币 或 者 购买 一 个 商品 等 。 当 你 发 送 或 者 接收 比 
等 币 的 时 候 ， 你 将 会 知道 它们 所 拥有 的 地 址 之 一 ， 而 且 很 快 这 个 地 址 
号 会 在 区 块 链 网 络 上 公示 〈 并 且 是 在 其 中 一 个 复 中 的 ) 。 于 是 你 可 以 
为 这 个 复 打 上 该 服务 商 的 吴 份 标识 标签 。 


这 就 是 当时 “一 把 比特 币 ” 的 研究 者 (以 及 自 那 之 后 的 其 他 人 ) 追踪 
地 址 的 做 法 ， 他 们 购买 了 不 同 的 东西 ， 加 入 了 矿 池 ， 使 用 比特 币 交 易 
所 、 钱 包 服 务 、 博 彩 网 站 ， 以 及 其 他 一 些 和 这 些 服务 提供 丙 产 生 比 特 
币 区 易 的 行为 ， 总 计 进 行 了 344 笔 交易 。 


在 图 6.5 中 ， 我 们 又 一 次 看 到 了 图 6.4 的 复 ， 只 不 过 这 一 次 贴 上 了 附 
加 的 标签 ， 我 们 有 关门 头 沟 公 司 和 中 本 聪 之 仍 的 猜测 是 准确 的 ， 这 些 
研究 着 同时 辨识 出 一 批 其 他 的 服务 提供 两 ， 而 如 琳 不 用 交易 的 方式 古 
很 难 标识 它们 的 。 


辨识 个 人 


下 一 个 问题 是 ， 我 们 是 否 可 以 对 个 人 做 同样 的 动作 ? 也 就 是 说 ， 
我 们 是 否 可 以 关联 一 些小 的 簇 以 辨识 个 人 在 真实 生活 中 的 身份? 


直接 交易 。 任 何人 和 某 个 个 人 进行 比特 币 交 易 的 时 候 一 一 不 管 是 
线 上 还 是 线 下 的 商家 、 交 易 所 ， 或 者 一 个 用 比特 币 来 分 担 晚餐 账单 的 
朋友 一 一 都 可 以 通过 这 种 直接 交易 ， 了 解 到 他 们 的 有 效 地 址 (至 少 一 


人 


图 6.5 标签 篮 
主 : 通过 和 不 同 的 比特 币 服务 提供 商 进 行 交 易 ， 米 区 尔 - 约 除 等 人 得 以 辨识 并 且 标 记 这 些 复 在 


一 < 


真实 世界 中 的 身份 。 

通过 服务 提供 商 。 在 使 用 比特 币 几 个 月 甚至 几 年 的 时 间 里 ， 大 
多 数 用 户 都 会 跟 交 易 所 或 者 其 他 中 心 化 的 服务 提供 商 有 一 些 交 集 ， 这 
些 服务 提供 商都 会 直接 询问 用 户 的 真实 身份 一 一 通 第 法 律 要 求 它们 必 
须 这 样 做 。 这 个 话题 我 们 将 会 在 下 一 个 章节 讨论 。 如 采 执 法 部 门 想 要 
去 辨识 某 一 个 个 人 ， 束 可 以 直接 去 找 这 些 服务 提供 商 ， 要 求 它 们 提供 
数据 。 


朴 忽 。 人 们 通常 都 会 在 公共 论坛 里 公示 自己 的 比特 币 地 址 ， 一 个 
通常 的 原因 都 是 通过 这 种 办 法 请 求 捐助 。 当 有 人 这 么 做 的 时 候 ， 其 实 
已 经 创建 了 一 个 他 们 自己 的 身份 和 他 们 某 一 个 地 址 的 关联 ， 如 果 他 们 
不 使 用 我 们 将 要 探讨 的 匿名 服务 ， 所 有 的 交易 都 将 会 面临 被 暴露 的 风 


险 。 


随 春 时 间 的 推移 ， 针 对 隐私 的 攻击 会 变 得 越 来 越 有 效率 。 历 史记 
录 表 明 ， 当 越 来 越 多 的 研究 着 去 人 研究 并 开发 出 新 的 去 匿名 化 的 技术 
时 ， 越 来 越 多 的 数据 会 被 公开 ， 去 匿名 化 的 算法 也 由 此 随 着 时 间 的 推 
移 而 不 断 得 到 改进 。 除 此 之 外 ， 会 有 越 来 越 多 的 辅助 信息 可 以 帮助 攻 
击 者 去 识别 这 些 地 址 复 ， 如 采 你 非常 关心 隐私 ， 那 么 这 个 问题 束 值 得 
去 担忧 。 


目前 ， 我 们 探讨 的 去 匿名 化 技术 ， 都 是 基于 对 区 块 链 网 络 上 交易 
图 谱 进 行 的 分 析 ， 这 些 方法 被 归纳 为 交易 图 谱 分 析 (transaction 
graph analysis) 。 


网 络 层 的 去 匿名 化 


用 户 被 去 匿名 化 ， 有 很 多 种 不 依赖 于 交易 图 谱 的 方法 。 为 了 在 区 
块 链 网 络 中 公示 一 个 交易 ， 一 种 典型 的 方法 吏 生 广播 这 个 交易 到 比特 
币 总 对 点 的 网 络 中 ， 在 这 个 网 络 中 ， 消 息 会 被 相应 地 发 送 ， 但 不 一 定 
要 在 区 块 链 网 络 里 做 永久 记录 。 


在 计算 机 网 络 术语 中 ， 区 块 链 被 归 为 应 用 层 ， 而 点 对 点 的 网 络 则 
是 网 络 层 。2011 年 ， 丹 : 卡 明 斯 基 (Dan Kaminsky) 在 黑 帆 技术 大 会 
(Black Hat) 上 首次 提出 了 网 络 层 去 匿名 化 的 概念 。 他 注意 到 ， 当 某 
个 节点 创建 一 个 交易 时 ， 该 节点 就 会 和 其 他 很 多 节点 建立 链接 并 且 广 
播 该 笔 交 易 。 如 果 网 络 上 足够 多 的 节点 串通 起 来 〈 或 者 是 被 同一 个 攻 


击 者 所 控制 的 ) ， 他 们 就 能 分 辨 出 第 一 个 广播 交易 的 节点 ， 并 且 可 以 
因此 推断 ， 这 个 节点 就 是 被 创建 这 个 交易 的 用 户 所 拥有 的 。 攻 击 者 因 
此 可 以 把 这 个 交易 关联 到 这 个 节点 的 耳 地 址 ， 而 了 地 址 已 经 非常 接近 于 
真实 世界 的 个 人 身份 了 一 有 很 多 办 法 可 以 发 现 某 个 IP 地 址 背后 的 用 户 
身份 。 因 此 ， 网 络 层 去 匿名 化 就 是 隐私 保护 的 一 个 非常 严重 的 问题 
(参见 图 6.6) 。 


ee 
Pi 


图 6.6 网 络 层 去 匿名 化 

注 : 正如 丹 ' 卡 明 斯 基 在 2011 年 黑 帽 技术 大 会 上 的 演讲 中 指出 的 , “第 一 个 通知 交易 的 节点 很 有 
可 能 就 是 交易 源头 ”。 多 点 配合 并 且 对 同一 个 交易 源头 进行 识别 的 时 候 ， 这 种 方法 的 
实际 效果 会 更 加 明显 


幸运 的 是 ， 这 是 一 个 通信 匿名 性 的 问题 ， 已 经 有 很 多 研究 在 探索 
这 个 谋 题 。 正 如 我 们 前 面 在 6.1T 中 已 经 看 到 的 ，Tor 这 个 使 用 很 广泛 的 


系统 就 是 用 来 实现 通信 匿名 性 的 。 


在 使 用 Tor 系 统 为 比特 币 实现 网 络 层 匿名 化 的 解决 方案 的 时 候 ， 有 
几 个 注意 事项 。 首 先 ， 在 Tor 的 协议 和 任何 基于 此 协议 的 上 层 协 议 之 
间 ， 可 能 会 有 一 些 复杂 的 交互 ， 由 此 可 能 会 导致 新 的 破坏 匿名 化 的 方 
法 。 事 实 上 ， 研 冤 着 已 经 发 现 ， 在 使 用 Tor 协 议 之 上 的 比特 币 时 ， 存 在 
一 些 潜在 的 安全 问题 ， 使 用 这 个 方案 的 时 候 一 定 要 非常 小 心 。 其 次 ， 
可 能 有 其 他 一 些 匿名 通信 的 技术 ， 会 更 适合 比特 币 的 使 用 。Tor 的 定位 
征 针 对 那些 低 延 迟 的 活动 ， 比 如 网 页 浏览 。 在 网 页 浏 斋 的 时 候 ， 你 也 
不 想 坐 在 那里 等 半天 ， 因 此 要 取得 低 延 迟 ， 在 匿名 化 方面 可 能 要 做 出 
某 些 牺牲 。 相 反 ， 比 特 币 则 是 一 个 高 延迟 的 系统 ， 因 为 比特 币 交 易 需 
要 伦 时 间 来 获得 区 块 链 上 的 确认 。 因 此 ， 至 少 在 理论 上 我 们 可 能 更 和 希 
望 使 用 另外 一 种 奉 代 方案 来 实现 匿名 性 ， 比 如 混 币 网 络 (Mix Net， 参 
见 本 章 6.3 世 ) 。 但 就 目前 来 说 ， 作 为 一 个 实际 在 运行 的 并 且 有 广大 用 
户 基础 的 系统 ，Tor 还 是 有 一 些 优势 的 ， 而 且 这 些 用 户 的 安全 问题 已 经 
被 集中 地 研究 过 。 


到 目前 为 止 ， 我们 已 经 看 到 ， 通 过 交易 图 谱 分 析 的 方法 ， 不 同 的 
地 址 有 可 能 被 关联 在 一 起 ， 甚 至 有 可 能 进一步 被 关联 到 真实 世界 的 号 
份 。 我 们 也 看 到 ， 基 于 点 对 点 网 络 ， 交 易 或 者 地 址 可 能 会 家 关联 到 一 
个 JP 地址。 对 后 一 个 问题 ， 虽 然 我 们 现在 还 不 能 说 可 以 完全 解决 ， 但 至 
少 解 决 起 来 相对 容易 。 前 一 个 问题 束 要 及 烦 很 多 ， 我 们 将 在 本 章 的 后 
续 部 分 ， 继 续 探 讨 如 何 去 解 决 它 。 


6.3 混 币 


有 一 些 机 制 可 以 使 得 交易 图 谱 分 析 变 得 不 那么 有 效 ， 其 中 一 种 就 
是 混 币 (Mixing) ， 这 种 技术 背后 的 逻辑 其 实 很 简单 : 如 果 你 想 要 匿 
名 化 ， 那 束 使 用 一 个 中 介 媒 体 。 这 个 原则 不 是 特别 针对 比特 币 的 ， 在 
很 多 需要 实现 匿名 性 的 情形 下 都 很 有 用 。 图 6.7 展 示 的 就 是 混 币 模式 。 


和 人 1 a 


图 6.7 混 币 模式 
注 : 用 户 发 送 比特 币 给 一 个 中 介 媒 体 ， 并 通过 其 他 的 用 户 回收 比特 币 。 这 就 使 得 在 区 块 链 上 追 
踪 一 个 用 户 的 比特 币 ， 变 得 更 加 困难 。 


混 币 在 线 钱包 


如 果 你 还 记得 我 们 有 关 在 线 钱包 的 讨论 ， 那 么 在 线 钱包 貌似 束 适 
合作 一 个 交易 中 介 。 在 线 钱 包 提 供 了 一 种 在 线 存 储 和 提取 比特 币 的 服 
务 ， 和 存储 和 提取 可 以 在 不 同 的 时 间 发 生 。 通 常 ， 你 提取 的 比特 币 有 别 
于 你 存储 的 比特 币 ， 那 么 ， 是 否 这 束 意 味 着 ， 在 线 钱 包 提 供 了 一 种 有 
效 的 混 币 服务 呢 ? 


在 线 钱 包 确 实 提供 了 一 个 去 天 联 性 的 方法 ， 这 可 以 阻止 交易 图 谱 
分 析 类 型 的 攻击 竹 试 ， 在 一 个 具体 的 案例 中 ， 一 些 杰 出 的 研究 者 不 得 
不 回 撤 一 个 面 同 公众 的 申明 ， 因 为 他 们 之 前 发 现 的 一 个 关联， 其 实 只 
苹 在 线 钱包 提供 的 一 个 伪 关 联 。 


从 男 外 一 个 角度 看 ， 使 用 在 线 钱包 来 做 混 币 服务 ， 也 存在 一 些 严 
重 的 局 限 性 。 首 先 ， 大 多 数 在 线 钱包 并 不 能 保证 一 定 能 实现 混 币 功 
效 ， 它 们 实现 袖 币 的 功能 ， 其 实 是 因为 这 样 做 简化 了 开发 工程 。 作 为 
用 户 ， 你 得 不 到 它们 不 会 去 变更 其 混 币 模式 的 保证 。 其 次 ， 即 使 它们 
实现 了 混 币 ， 其 内 部 也 会 保留 一 份 记录 ， 用 来 匹配 你 的 存 入 和 提取 。 
这 不 仅 是 出 于 安全 性 的 考虑 ， 也 是 根据 合 规 要 求 的 审慎 做 法 。 所 以 
说 ， 如 末 你 的 威胁 模型 会 考虑 服务 提供 商 本 映 会 跟 中 你 ， 或 者 服务 提 
供 商 被 墨客 攻击 ， 又 或 者 服务 提供 商 被 迫 提 供 它 们 的 记录 等 这 些 可 能 
性 ， 你 就 又 回 到 了 原点 。 最 后 ， 除 了 保留 内 部 记录 之 外 ， 声 誉 好 的 且 
受 监管 的 服务 提供 商 ， 也 会 要 求 你 提供 个 人 身份 以 进行 记录 (我 们 将 
在 第 7 章 中 具体 讨论 监管 问题 ) 。 你 无 法 简单 地 通过 一 个 用 户 名 和 密 
码 ， 束 能 够 创建 一 个 帐号。 所以， 在 某 种 意义 上 ， 这 可 能 比 你 不 用 钱 
包 有 上 服务 还 糟 薰 。 


在 线 钱包 服务 所 提供 的 匿名 性 ， 和 传统 银行 所 提供 的 服务 类 似 ， 

都 有 一 个 知道 所 有 用 户 的 交易 记 采 的 中 央 媒 介 。 对 一 个 没有 特权 信息 
的 陌生 人 来 说 ， 我 们 有 具备 了 一 定 程 度 的 隐私 。 但 是 ， 正 如 我 们 讨论 过 
的 ， 区 块 链 的 公共 属性 意味 着 ， 如 果 发 生 任何 问题 《比如 ， 钱 包 或 者 
交易 所 服务 被 黑客 攻击 而 导致 内 部 数据 的 暴露 ) ， 隐 私 风险 会 比 传统 
的 银行 系统 更 大 。 除 此 之 外 ， 越 来 越 多 的 人 束 是 因为 不 满意 传统 系统 
的 匿名 性 ， 并 想 要 一 个 更 好 的 (或 者 不 同 的 ) 匿名 性 保障 才 转 向 使 用 
比特 币 ， 这 些 都 是 用 户 使 用 专项 混 币 服务 的 动力 。 


专项 混 币 服务 


不 同 于 在 线 钱 包 ， 专 门 的 混 币 服务 既 可 以 保证 不 留 记录 ， 叉 不 需 
要 你 的 身份 验证 。 你 甚至 不 需要 一 个 用 户 名 或 者 其 他 化 名 来 使 用 这 项 
服务 ， 只 需要 发 送 比 特 币 到 温 币 服务 提供 的 地 址 ， 并 且 告 诉 交 易 服务 
提供 商 你 发 送 的 比特 币 所 需要 达到 的 地 址 ， 混 币 服务 提供 商 就 会 帮 你 
转 过 去 相同 数量 的 比特 币 〈 不 是 你 发 送 的 比特 币 ) 。 本 质 上 ， 这 是 一 
种 互 换 。 


同时 ， 男 一 个 好 处 是 这 种 专项 混 币 服务 承诺 不 会 保留 记录 ， 这 看 
上 去 不 错 。 但 你 必须 要 信任 它们 会 信守 承诺 ， 并 且 你 还 必须 相信 它们 
最 终 会 帮 你 完成 转账 。 不 像 在 线 钱 包 ， 由 于 混 币 服务 并 不 提供 一 个 存 
储 比特 币 的 地 方 ， 你 需要 混合 后 的 比特 币 尽快 回 到 自己 手中 。 这 也 就 
意味 着 ， 混 币 池 中 将 要 和 你 刚刚 存 入 的 比特 币 混在 一 起 的 其 他 比特 币 
总 量 会 非常 少 ， 大 概 吏 是 在 你 的 比特 币 存 入 的 同时 其 他 人 存 入 的 数 


混合 (mix) 和 洗钱 (laundry) 


在 这 本 书 里 ， 我 们 使 用 了 一 个 术语 混合 ， 特 指 一 个 专项 的 混 币 
服务 ， 也 有 些 人 比较 倾向 于 用 男 外 一 个 同样 意思 的 术语 mixer 。 

你 可 能 也 遇 到 了 洗钱 这 个 词 ， 我 们 并 不 喜欢 这 个 词 ， 因 为 这 个 
词 不 必要 地 关联 到 了 一 个 道德 评价 的 问题 ， 而 实际 上 我 们 讨论 的 十 
一 个 纯 技 术 的 概念 。 正 如 我 们 所 见 ， 为 什么 你 需要 保护 你 在 比特 币 
运用 中 的 隐私 ， 并 且 使 用 寓 币 服务 来 保护 你 的 日 单 隐私 ， 你 有 很 多 
很 好 的 理由 。 当 然 我 们 也 需要 了 解 它 的 负面 作用 ， 但 是 洗钱 这 样 的 
搞 述 加 重 了 负面 舍 义 ， 因 为 这 可 能 市 了 一 种 暗示， 瞳 示 你 的 比特 币 
征 “ 脏 ?的 ， 需 要 洗 干 净 。 


还 有 另外 一 个 词 翻 洗 (tumbler) ， 这 次 词 的 含义 不 是 很 清楚 ， 


可 能 会 被 理解 为 翻滚 式 刘 币 的 一 种 行为 ， 或 者 是 指 因此 而 从 来 的 清 
洗 效 果 (在 宝石 之 类 的 范畴 ) 。 不 管 怎 么 说 ， 我 们 还 是 坚持 使 
mix ls 


混 币 准则 


有 一 组 研究 者 ， 包 括 本 书 5 个 作者 中 的 4 个 ， 人 研究 了 混 币 模式 ,不 
仅仅 是 从 增强 匿名 性 的 角度 ， 而 且 还 从 安全 信任 等 级 方面 ， 提 出 了 一 
系列 改进 混 币 运作 的 方案 ， 我 们 将 深入 探讨 这 些 准 则 。 


多 重 混 币 的 使 用 


首要 的 原则 是 使 用 多 重 混 币 服务 ， 一 环 套 一 环 ， 而 不 是 仅 使 用 单 
次 混 币 (参见 图 6.8) 。 这 是 一 个 已 经 被 广泛 接受 并 且 已 经 比较 完善 的 
原则 ， 例 如 ， 正 如 我 们 催 要 探讨 过 的 Tor 系 统 ， 使 用 了 三 重 路 由 方式 的 
匿名 通信 。 这 可 以 减少 你 对 单一 混 币 服务 提供 者 可 信赖 性 的 依赖 。 只 
要 这 一 系列 中 的 任何 一 个 混 币 服务 提供 者 信守 承诺 并 删除 了 记录 ， 你 
束 有 理由 相信 ， 没 有 任何 人 能 够 将 你 的 原始 输入 关联 到 你 最 终 接收 到 
的 输出 。 


图 6.8 多 重 混 币 


注 : 我 们 从 一 个 持 有 比特 币 或 者 输入 地 址 的 用 户 开始 ， 且 假设 该 用 户 已 经 被 其 他 人 关联 到 了 其 
0 该 用 户 通 过 混 币 服务 提供 商 来 发 送 比特 币 ， 每 次 都 需要 提供 一 个 全 新 产生 的 输出 地 
要 能 静 在 所 提供 的 全 消 > 一 个 混 币 环 世 销毁 输入 和 输出 匹配 的 记录 ， 而 且 没有 其 他 渠道 可 
以 泄露 相 关 信和 言 息 ， 其 他 人 就 无 法 把 用 户 最 初 发 送 的 比特 币 和 最 终 接 收 的 比特 币 关 联 起 来 。 


一 致 性 交易 (uniform transactions) 


在 混 币 交易 中 ， 如 来 不 同 用 户 使 用 了 不 同 数量 的 比特 币 ， 这 样 的 
混 币 不 一 定 会 非常 有 效 。 由 于 初始 进入 和 从 混 币 过 程 中 出 来 的 比特 币 
数量 必须 要 一 任 ， 就 可 以 通过 观察 某 用 户 的 比特 币 在 混 币 过 程 中 的 流 
入 流出 而 建立 起 一 个 关联 ， 或 者 至 少 会 极 大 地 减少 匿名 集中 的 交易 数 


量 。 


相反 ， 我 们 需要 温 币 中 的 交易 价值 能 够 服从 平均 分 布 ， 从 而 最 小 
化 被 关联 的 可 能 性 。 所 有 的 混 币 服务 都 应 该 对 使 用 的 块 大 小 (chunk 
size) 达成 一 致 ， 也 束 生 说， 使 用 一 个 固定 的 宴 币 输入 值 ， 吏 可 以 增强 
所 有 通过 混 币 服务 的 交易 匿名 性 。 因 为 所 有 的 交易 看 起 来 都 一 样 ， 而 
不 能 通过 交易 价值 的 不 同 ， 分辨 出 不 一 样 的 地 方 。 再 者 ， 在 所 有 的 混 
币 中 使 用 统一 的 大 小 ， 可 以 让 使 用 多 重 混 币 更 加 容易 ， 而 不 需要 去 拆 
分 和 合并 其 中 的 交易 。 


在 实际 运作 中 ， 对 所 有 用 户 统一 交易 块 大 小 可 能 会 比较 困难 。 如 
打 我 们 选择 的 块 太 大 ， 对 想 使 用 寓 币 来 处 理 少 量 比特 币 的 用 户 则 不 适 
用 ; 而 如 果 选 择 的 块 太 小 ， 那 么 想 处 理 大 额 交 易 的 用 户 可 能 需要 把 区 
易 拆 成 大 量 的 小 额 交 易 ， 这 种 做 法 会 非常 没有 效率 而 且 成 本 很 高 。 多 
标准 块 大 小 则 可 以 改善 性 能 ， 但 十 不 同 的 块 大 小 也 会 相应 地 分 割 交 易 
匿名 集 。 或 许 一 系列 渐 增 的 两 到 三 个 块 大 小 ， 有 可 能 会 在 效率 和 隐私 
程度 之 间 达 到 一 种 合理 的 平衡 。 


客户 端 自动 化 


除了 在 基于 交易 量 的 关联 尝试 之 外 ， 一 些 陪 明 的 攻击 者 会 尝试 其 
他 不 同 的 方法 ， 例 如 观察 交易 发 生 的 时 间 。 这 些 攻击 其 实 可 以 防范 ， 
但 必要 的 预防 措施 对 于 人 类 来 说 太 过 复 洒 和 麻烦 。 相 反 ， 混 币 上 服务 的 
客户 端 功能 应 该 是 目 动 化 的 ， 并 且 是 隐私 保护 比较 好 的 钱包 内 置 功 


手续 费 应 该 是 要 么 全 有 要 么 全 无 


混 币 服务 是 一 种 有 收益 期 望 的 生意 。 一 种 计 费 的 方式 是 从 每 一 笔 
交易 中 分 成 ， 但 是 这 种 方法 对 匿名 性 的 实施 是 有 问题 的 ， 因 为 混 币 不 
再 是 统一 的 大 小 。 (如 果 用 户 尝 试 去 分 拆 和 合并 较 小 的 交易 块 使 得 交 
易 大 小 回 到 初始 的 状态 ， 那 殴 有 可 能 融 来 广 重 的 并 且 难 以 分 析 的 匿名 
被 桶 露 的 风险 ， 因 为 有 更 多 的 新 的 有 关 交 易 中 的 比特 币 的 关联 会 产 
6 


不 要 把 交易 手续 费 和 混 币 服务 费 混 为 一 谈 ， 交 易手 续费 古人 矿工 
所 获得 的 ， 混 币 服 务 费 是 在 此 之 上 的 额外 的 费用 。 


为 了 避免 这 个 问题 ， 混 币 服 务 费 应 该 是 要 么 全 有 要 么 全 无 ， 并 且 
依 概率 规则 来 应 用 。 换 句 话说 ， 混 币 服务 提供 商 应 该 要 么 在 很 小 的 概 


率 情 况 下 获得 所 有 的 交易 金额 ， 要 入 完全 不 收费 。 举 例 来 说 ， 如 果 泥 
币 服务 商 想 要 按照 0.1% 收 费 ， 那 么 应 该 是 每 1 000 次 交易 中 有 一 次 服务 
提供 商 获得 整个 交易 金额 ， 而 其 他 的 999 次 则 不 收 任何 费用 。 


这 个 会 很 难 实现 ， 混 币 服务 商 需 要 做 出 一 个 概率 决策 ， 并 且 要 让 
用 户 信服 它们 没有 作 焉 ， 也 束 是 说 ， 在 它们 的 随机 数 生 成 郁 中 没有 做 
过 任何 概率 偏 置 设 定 。 比 如 ， 获 得 整个 交易 金额 的 概率 是 1% 而 不 是 
0.1%。 加密 学 提供 了 一 个 很 好 的 办 法 ， 你 可 以 参考 下 面 将 要 延伸 阅读 
章节 中 提 到 的 有 关 温 币 的 论文 ， 以 获取 更 多 的 细 市 ， 在 这 篇 论文 中 ， 
也 提 到 了 可 以 让 混 币 服务 提供 商 提 高 公信 力 的 多 种 其 他 方式 。 


混 币 实践 


直至 2015 年 ， 还 不 存在 一 个 正常 运行 的 混 币 生态 系统 。 市 场 上 有 
很 多 的 混 币 服务 ， 但 是 都 只 有 比较 低 的 交易 量 ， 因 此 它们 的 匿名 组 合 
比较 小 。 更 糟糕 的 是 ， 许 多 混 币 服务 提供 商 被 报告 有 盗 币 行为 ， 或 
许 “ 目 举 ” 这 样 一 个 生态 系统 太 难 ， 正 是 混 币 系统 从 来 没有 良好 运行 过 的 
一 个 原因 。 基 于 混 币 服务 提供 商 狂 猎 的 名 声 ， 并 没有 多 少 人 想 要 使 用 
它们 的 服务 ， 这 也 导致 了 较 低 的 交易 量 ， 进 而 导致 了 不 好 的 匿名 保 
护 。 老 话说 得 好 ， 大 隐隐 于 市 (anonymity loves company) ， 也 就 是 
说 ， 越 多 人 使 用 一 个 匿名 服务 ， 那 么 这 个 服务 能 提供 的 匿名 性 残 越 
高 。 进 一 步 来 说 ， 由 于 提供 服务 并 没有 太 多 利益 可 图 ， 服 务 提 供 商 可 
能 会 尝试 去 盗 取 客 户 的 资金 ， 这 会 使 得 混 币 服务 提供 商 的 公信 力 出 现 


当前 ， 混 币 服务 提供 丙 并 没有 这 循 我 们 所 探讨 的 任何 原则 。 每 一 
个 服务 提供 商都 是 独立 运营 的 ， 并 且 通 靖 都 会 提供 给 用 户 一 个 网 页 接 
口 ， 让 用 户 手 工 输入 收 钱 地 址 和 其 他 一 些 必要 的 参数 。 用 户 可 以 选择 


他 们 需要 进行 混 币 交易 的 数量 ， 服 务 提供 丙 针 对 每 一 笔 交 易 收取 提成 
来 作为 服务 费 ， 然 后 发 送 剩 余 的 比特 币 到 用 户 指 定 的 目标 地 址 。 


我 们 认为 ， 对 混 币 服务 提供 商 (和 钱包 软件 提供 商 ) 来 说 ， 为 了 
可 以 获取 更 强 的 匿名 性 ， 抵 御 智 能 攻击 ， 提 供 一 个 高 可 用 性 的 接口 ， 
进而 吸引 更 多 的 交易 量 ， 实 施 我 们 介绍 的 模式 十 很 有 必要 的 。 然 而 ， 
迄今 为 止 ， 我 们 还 是 没有 看 到 过 一 个 比较 强健 的 混 币 生态 系统 。 


6.4 分 布 式 混 币 


分 布 式 混 币 (Decentralized Mixing) ， 不 同 于 一 般 的 混 币 交 
易 ， 指 的 是 用 一 种 用 户 之 间 的 点 对 点 模式 实现 混 币 交易 的 协议 。 正 如 
你 可 以 想象 的 ， 这 种 方式 在 理念 上 与 比特 币 更 加 契合 。 


分 布 式 模式 具有 更 高 的 可 操作 性 。 首 先 ， 分 布 式 没有 目 举 的 问 
题 ， 用 户 不 需要 等 竺 一 个 有 公信 和 力 的 集中 式 宴 币 提供 商 出 现 。 其 次 ， 
盗 币 行为 在 分 布 式 混 币 模式 下 几乎 不 太 可 能 发 生 ， 这 种 协议 可 以 保证 
你 可 以 收回 你 在 进行 寓 币 交易 时 等 值 的 比特 币 ， 正 是 因为 这 一 点 ， 即 
便 是 要 进行 一 些 对 分 布 式 寓 币 有 用 的 中 心 化 的 协作 ， 由 于 无 须 说服 别 
人 目 己 是 值得 信任 的 ， 任 何人 都 可 以 更 加 容易 地 设置 并 提供 这 样 的 服 
务 。 最 后 ， 在 某 些 方式 中 ， 分 布 式 混 币 模式 可 以 提供 更 好 的 匿名 性 。 


合 币 


分 布 式 混 币 模式 的 主要 方案 被 称 为 合 币 (Coinjoin) 。 在 这 个 协 
议 中 ,不 同 的 用 户 共 同 创建 一 个 单一 的 比特 币 交 易 ， 该 交易 包含 所 有 
的 用 户 输 入 。 让 合 币 得 以 有 效 运 作 的 核心 技术 原理 为 ， 当 一 个 交易 拥 
有 多 个 来 目 不 同 地 址 的 输入 时 ， 来 目 每 一 个 输入 的 签名 都 是 分 离 并 且 
相互 独立 的 ， 所 以 这 些 不 同 的 地 址 可 以 被 不 同 的 人 所 控制 ， 而 不 需要 
任何 一 方 来 提取 所 有 的 私 钥 (参见 图 6.9) 。 


图 6.9 合 币 交易 


这 样 束 可 以 让 一 组 用 户 通 过 使 用 单一 交易 来 进行 混 币 交易 。 每 一 
个 用 户 提供 一 个 输入 和 输出 地 址 ， 然 后 组 合 起 来 惑 形成 一 个 交易 。 由 
于 输入 和 输出 地 址 的 顺序 是 随机 的 ， 因 此 攻击 者 无 法 建立 输入 和 输出 
的 匹配 关系 。 参 与 者 可 以 查询 他 们 的 输出 地 址 已 经 包含 在 交易 里 ， 并 
且 会 接收 到 和 他 们 输入 时 数量 相同 的 比特 币 ( 减 去 所 有 的 交易 手续 
费 ) 。 一 旦 他 们 确认 了 这 些 ， 就 可 以 对 这 个 交易 进行 确认 签名 。 


当 其 他 人 在 区 块 链 网 络 上 得 询 这 笔 交 易 的 时 候 ， 即 使 他 们 知道 这 
是 一 笔 合 币 交易 ， 也 不 能 确定 输入 地 址 和 输出 地 址 的 匹配 。 从 一 个 外 
来 者 来 看 ， 这 些 比特 币 已 经 被 充分 混 币 了 ， 这 就 古 合 币 的 精髓 。 


到 目前 为 止 ， 我 们 已 经 描述 了 一 轮 混 币 交 易 ， 但 是 我 们 在 6.3 世 中 
讨论 的 原则 仍然 适用 ， 你 想 要 (想必 会 ) 和 不 同 组 的 用 户 重 复 这 样 的 
流程 ， 你 也 想 保 证 这 些 交易 比特 币 块 大 小 十 标 准 的 ， 这 样 束 避免 了 无 
意 中 引 入 会 造成 信息 泄露 的 卷 路 。 


现在 让 我 们 来 探究 一 下 合 币 的 细节 ， 我 们 可 以 把 该 流程 分 为 5 个 步 


台 : 


1. 找 到 想 要 混 币 的 交易 对 手 ， 作 为 节点 。 
2. 交 换 输入 了 输出 地 址 。 
3. 建 立交 易 。 


4. 发 送 这 个 交易 给 其 他 人 ， 每 一 个 节点 在 确认 他 们 的 输出 地 址 之 
， 进 行 签名 。 


5. 播 这 个 交易 。 


一 组 想 要 进行 混 币 的 节点 ， 百 先 需 要 发 现 彼此 。 这 个 动作 需要 由 
一 个 服务 器 来 完成 ， 其 角色 有 点 像 一 个 “饮水 坑 ” (watering holes) [1] 
， 人 允许 这 一 组 用 户 互 相连 接 并 组 合 在 一 起 。 不 像 中 心 化 的 混 币 服务 ， 
这 些 服务 需 既 不 可 能 有 机 会 盗 取 用 户 的 和 资金， 也 不 可 能 危及 用 户 的 匿 
名 性 。 


一 旦 一 组 市 点 形成， 这 些 市 点 必须 要 互相 交换 它们 的 输入 和 输出 
地 址 。 地 址 交换 中 要 保证 即便 是 组 中 其 他 市 点 也 不 能 知道 这 些 输 入 和 
输出 地 址 之 间 的 匹配 关系 。 这 一 点 非常 重要 ， 人 否则 即使 你 与 一 组 看 上 
去 随机 的 节操 进行 了 合 币 交易 ， 攻 击 者 还 是 有 可 能 伪 狠 目 己 进入 这 个 
节点 组 ， 并 由 此 获取 输入 和 输出 的 对 应 匹配 。 要 做 到 无 关联 的 地 址 交 
换 ， 我 们 整 需 要 一 种 匿名 通信 协议 。 我 们 可 以 使 用 之 前 探讨 过 的 Tor 网 
络 ， 或 者 一 种 被 称 为 加 密 混 币 网 络 (mix-net) 的 特殊 目的 匿名 路 由 协 
以 * 
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输入 和 输出 地 址 信息 一 经 传达 ， 其 中 一 个 用 户 一 一 不管 是 谁 一 一 
将 会 基于 这 些 相对 应 的 输入 和 输出 地 址 构建 一 个 交易 ， 这 个 未 被 签名 
过 的 交易 将 会 被 转发 传递 ， 每 一 个 节点 都 会 验证 这 个 输入 和 输出 地 址 
古 否 正确 ， 并 且 签 名 确认 。 


如 条 所 有 的 节点 都 遭 循 这 个 协议 ， 那 么 这 个 系统 束 会 正 肖 工作 。 
任何 一 个 节点 都 可 以 组 装 交 易 ， 并 且 任 何 一 个 节点 部 可 以 将 这 个 交易 
广播 到 网 络 中 ， 甚 至 这 些 节 点 中 的 两 个 可 以 独立 广播 ， 当 然 ， 这 个 区 
易 只 会 在 区 块 链 网 络 中 被 公布 一 次 。 但 是 ， 如 采 一 个 或 多 个 节操 想 要 
进行 破坏 ， 那 么 局 动 一 个 拒绝 服务 攻击 并 阻止 这 个 协议 完成 ， 是 很 位 
单 的 事情 。 


特别 地 ， 一 个 节点 可 以 参与 协议 的 第 一 阶段 ， 提 供 输入 和 输出 地 
址 ， 但 拒绝 在 第 二 阶段 进行 签名 。 或 者 ， 也 可 能 是 ， 在 对 交易 进行 签 
名 确认 之 后 ， 一 个 想 要 破坏 交易 的 节点 可 以 笑 试 使 用 它 所 提供 给 其 他 
节 扩 的 输入 地 址 到 其 他 的 交易 中 去 ， 如 琳 男 一 交易 在 网 络 中 被 抢先 确 
认 ， 那 么 合 币 交 易 束 会 被 当 作 双 重文 付 区 易 而 被 拒绝 。 


在 合 币 交易 中 ， 有 多 种 方案 可 以 防止 拒绝 服务 式 攻击 。 其 中 一 个 
瓯 是 对 协议 中 参与 交易 的 和 点 施加 成 本 ， 不 管 是 通过 一 种 工作 证 明 机 
制 (类 似 于 控 矿 ) ， 或 者 是 通过 一 种 销毁 证 明 机 制 (一 种 可 证 实 能 销 
毁 你 所 拥有 的 微量 比特 币 的 技术 ， 这 一 点 我 们 在 第 3 章 探讨 过 ) 。 另 外 
的 办 法 包括 ， 使 用 一 些 密 人 码 学 手段 鉴别 不 符合 规定 的 参与 者 ， 并 且 可 
以 把 它们 从 节点 组 里 剔除 。 在 本 草 结 尾 处 ， 我 们 会 看 到 一 些 相关 细 
节 。 


高 风险 交易 流 (high-level flows) 


我 们 之 前 谈 到 过 旁 路 攻击 。 现 在 我 们 来 仔细 看 一 下 产生 劳 路 的 玄 
机 。 我 们 假设 ， 通 过 一 个 特定 的 地 址 ， 爱 丽 丝 每 周 都 固定 地 收 到 一 定 
数量 的 比特 币 ， 比 如 43.12312 个 比特 币 ， 有 可 能 这 是 她 的 薪水 。 进 一 
步 假 设 她 有 一 个 习惯 ， 每 当 收 到 这 笔 资 金 的 时 候 就 把 其 中 的 5% 立 刻 自 
动 存 入 另外 一 个 比特 币 地 址 ， 那 是 她 的 退休 基金 账号 。 我 们 将 这 种 转 
账 模 式 称 为 高 风险 交易 流 。 在 这 种 情况 下 ， 没 有 一 种 混 币 模式 可 以 隐 


藏 这 两 个 地 址 之 间 的 关系， 考虑 到 这 种 行为 模式 会 在 区 块 链 网 络 中 是 
透明 可 见 的 一 一 这 样 特定 了 金额 和 时 间 的 行为 ， 几 乎 不 可 能 是 偶然 发 
生 鸭 * 


有 一 种 技术 ， 可 以 帮助 用 户 在 高 风险 交易 流 的 情形 下 重 获 无 关联 
性 ， 这 种 技术 叫 作 合并 规避 (merge avoidance) ， 是 由 比特 币 创始 人 
迈克 . 赫 恩 (Mike Hearn) 提出 的 。 一 般 来 说 ， 为 了 完成 一 笔 文 付 ， 用 

会 尽 可 能 地 组 合 所 拥有 的 比特 币 ， 以 便 有 足够 多 的 数额 可 以 支付 到 
单一 接收 地 址 来 完成 交易 。 他 们 是 否 可 以 规避 会 导致 所 有 输入 地 址 被 
关联 在 一 起 的 合并 行为 呢 ? 这 种 合并 规避 协议 通过 允许 接收 方 提供 多 
个 输出 地 址 的 方式 ( 尽 可 能 多 的 ) ， 使 得 无 关联 性 成 为 可 能 。 发 送 方 
和 接收 方 可 以 达成 一 致 ， 通 过 把 一 个 数额 较 大 的 支付 分 拆 为 一 组 小 面 
值 的 支付 方式 ， 使 得 这 个 支付 使 用 多 个 交易 来 完成 ， 如 图 6.10 所 示 。 


图 6.10 合并 规避 

注 : 爱丽 丝 想 要 用 8 个 比特 币 去 购买 一 只 茶壶 ， 店 铺 提供 了 两 个 地 址 给 她 ， 她 可 以 支付 5 个 比 
特 币 到 其 中 一 个 地 址 而 支付 3 个 比特 币 到 另外 一 个 地 址 ， 与 她 的 可 用 输入 资金 匹配 了 ， 这 样 部 
可 以 避免 暴露 两 个 地 址 都 是 属于 爱丽 丝 的 事实 。 


二 


假设 ， 店 铺 最 终 将 这 两 笔 文 付 和 收 到 的 其 他 文 付 合并 在 了 一 起 ， 
这 两 个 地 址 就 不 再 古 很 明显 互相 关联 的 了 。 店 铺 应 该 避免 在 收 款 的 同 
时 ， 马 上 重新 把 这 两 个 输入 合并 在 一 起 ， 人 否则 这 两 个 输入 来 目 同一 个 


个 体 的 事实 还 十 会 很 明显 。 当 然 ， 爱丽 丝 也 要 避免 在 同一 时 间 发 送 这 
两 笔 文 付 交 易 ， 这 也 有 可 能 类 似 地 骏 露 信息 。 


总 的 来 说 ， 合 并 规避 可 以 帮助 缓解 高 风险 交易 流 的 问题 ， 如 有 果菜 
一 个 交易 流水 被 拆 分 成 许多 互相 无 法 关联 的 小 额 流水 ， 攻 击 者 可 能 整 
不 会 辨别 这 个 交易 。 这 样 做 也 可 以 使 依赖 于 识别 单一 交易 中 共 时 花费 
的 多 个 比特 币 的 地 址 簇 技术 失效 。 


[1] 这 个 比喻 来 自 非 洲 草原 上 的 饮水 坑 ， 需 要 饮水 的 动物 都 会 到 坑 边 去 。 掠 食 动 物 也 常常 
在 坑 边 埋伏 捕猎 。 在 网 络 安全 上 ， 这 种 类 似 “ 饮 水 坑 ” 的 网 站 也 往往 是 黑客 选择 攻击 目标 的 场 
所 ， 此 类 攻击 也 被 称 作 “水 坑 攻 击 ”。 


6.5 零 币 和 零 钞 


在 零 币 和 和 零 钞 陆续 出 现 之 前 ， 还 没有 哪个 加 密 数 字 货 币 的 匿名 化 
方案 可 以 让 人 如 此 兴奋 ， 不 光 是 因为 它们 所 实施 的 密码 学 原理 非常 高 
妙 ， 也 因为 它们 承诺 可 以 达到 的 匿名 性 非常 强大 有 效 。 到 目前 为 止 ， 
所 有 我 们 看 到 过 的 匿名 加 强 扩 术 ， 都 是 在 原来 的 核心 技术 协议 之 上 加 
载 匿 名 化 处 理 ， 零 币 和 和 零 钞 则 十 在 协议 层 束 融合 了 匿名 化 处 理 。 我 们 
将 在 这 里 以 比较 大 的 轮 亡 曾 述 一 下 这 个 协议 ， 并 对 某 些 细 市 进行 了 必 
要 的 简化 ， 但 读者 可 以 在 本 章 结尾 的 延伸 阅读 部 分 找到 原始 论文 作为 


参考 。 


兼容 性 (compatibility) 。 零 币 和 有 零 钞 为 保证 很 强 的 匿名 性 ， 是 有 
代价 的 : 不 同 于 中 心 化 的 混 币 服务 和 合 币 交 易 ， 这 些 协 议和 现在 的 比 
特 币 不 兼容 。 通 过 软 分 叉 (soft fork) [上 比特 币 协 议 的 方式 去 实施 零 
币 在 技术 上 是 可 行 的 ， 但 实际 操作 的 难度 会 对 此 造成 很 大 的 障碍 。 有 夫 
钞 甚至 不 能 通过 软 分 又 比特 币 协议 的 方式 去 实现 ， 而 只 能 以 一 种 另类 
币 (altcoin) 的 方式 存在 。 


加 密 学 保证 (cryptographic guarantees) 。 零 币 和 零 钞 在 协议 层 已 
经 融入 了 混 币 功能 ， 其 匿名 属性 来 目 加 密 学 的 傈 证， 从 性 质 上 说 ， 这 
些 保证 比 我 们 之 前 讨论 的 其 他 温 币 技术 更 好 。 在 隐私 保 扩 方面， 你 不 
需要 信赖 任何 人 ， 比 如 ， 混 币 服 务 提供 商 、 混 币 节 点 ， 或 其 他 任何 形 
式 的 中 介 ， 甚 至 是 矿工 和 共识 机 制 协 议 。 和 大 多 数 密码 学 保证 一 样 ， 
这 种 匿名 性 的 保证 仅仅 依赖 于 攻击 者 的 计算 能 力 上 限 。 


币 


鲍 


为 了 解释 零 币 ， 我 们 首先 要 介绍 一 下 基础 币 (Basecoin) 的 概 
念 ， 基 础 币 羡 一 种 类 似 于 比特 币 的 另类 币 ， 而 零 币 征 这 种 数字 货币 的 
一 种 延伸 ， 其 所 提供 的 匿名 性 的 核心 特点 在 于 ， 你 可 以 将 基础 币 和 和 零 
币 进行 来 回转 换 ， 并 且 当 你 这 么 做 的 时 候 ， 束 打破 了 旧 的 基础 币 和 新 
的 基础 币 之 间 的 关联 。 在 系统 里 ， 基 础 币 是 你 需要 进行 交易 的 货币 ， 
雯 币 只 是 提供 了 一 种 交易 基础 币 的 机 制 ， 这 种 机 制 可 以 确保 新 币 和 有 旧 
币 之 间 晕 无 天 联 。 


你 可 以 把 你 所 拥有 的 每 一 个 零 币 当 作 一 个 令 牌 ， 用 来 证 明 你 拥有 
这 人 么 一 个 零 币 并 且 使 其 不 能 再 被 消费 。 这 种 证 明 机 制 并 不 会 显示 你 所 
拥有 的 是 哪 一 个 零 币 ， 而 仅仅 是 证 明 你 确实 拥有 一 个 零 币 ， 稍 后 你 可 
以 将 这 个 证 明 给 矿工 看 ， 以 赎 回 这 个 证 明 并 取得 一 个 新 的 基础 币 。 用 
一 个 比喻 来 襄 ， 束 好 比 你 去 赌场 用 现金 换 了 一 些 扑 殉 筹 码 ， 这 些 筹码 
就 是 一 种 证 明 ， 证 明 你 存 了 多 少 现金 ， 等 你 离开 赌场 时 ， 避 ® 可 以 拿 着 
这 些 证 明 去 换 相 同 数量 的 但 并 不 一 样 的 现金 。 当 然 ， 不 像 扑 殉 筹 码 ， 
除了 你 可 以 稍 后 用 来 赎 回 一 个 基础 币 ， 你 并 不 能 拿 零 币 做 任何 事情 。 


为 了 在 加 密 数 字 货 币 中 让 这 样 的 机 制 正常 运转 ， 我 们 要 用 密码 学 
的 方式 来 执行 这 些 证 明 ， 我 们 需要 确保 每 一 个 证 明 只 能 赎 回 一 个 基础 
币 ， 人 否则 你 残 可 以 通过 把 一 个 基础 币 转换 成 一 个 零 币 ， 然 后 多 次 赎 回 
获取 更 多 的 免费 基础 币 。 


零 知 识 验 证 


我 们 使 用 的 核心 加 密 学 工具 是 零 知识 验证 ， 这 种 方式 可 以 证 明 一 
个 声明 (数学 上 的 ) 是 正确 的 ， 而 不 需要 展示 可 推导 该 声明 正确 性 的 
任何 其 他 信息 。 例 如 ， 假 设 你 已 经 做 了 很 多 工作 解决 了 一 个 哈 硕 迹 
题 ， 并 且 你 想 要 回 其 他 人 证 明 你 做 到 了 “。 换 而 言 之 ， 你 想 要 证 明 "“ 我 做 
下 了 ”这 个 启明 六 


I know x such that H(x|| 《other known inputs》)< (target) 


当然 ， 你 可 以 展示 上 述 公 式 里 的 x 值 来 证 明 你 做 到 了 ， 但 是 零 知 识 
验证 可 以 让 你 向 别人 证 明 你 做 到 了 这 一 点 ， 同 时 不 需要 透露 x 的 值 ， 即 
便 在 看 过 你 的 证 明之 后 。 


你 也 可 以 证 明 一 个 如 “我 知道 一 个 x 值 ， 而 公式 H (x) 的 结果 属于 
下 面 这 一 个 集合 {….}” 这 样 的 声明 。 该 证 明 既 没有 展示 x 值 是 什么 ， 也 没 
有 证 明 集 合 里 面 到 底 哪 一 个 元 素 等 于 H 《0。 至 关 重 要 的 是 ， 零 币 束 是 
利用 零 知 识 验证 来 实现 其 功能 的 。 事 实 上 ， 和 零 币 中 被 这 种 方式 证 明 的 
声明 ， 与 后 面 要 提 到 的 例子 非常 相似 。 本 书 中 ， 我 们 把 零 知 识 验证 当 
成 一 个 黑匣子 ， 只 说 明了 和 零 知 识 验证 可 以 实现 的 属性 以 及 在 这 个 协议 
中 的 哪个 部 分 是 必需 的 ， 我 们 并 没有 深 客 如 何 实现 这 一 功能 的 技术 细 
放 。 零 知识 验证 下 现代 密码 学 的 一 个 基石 ， 是 很 多 相关 技术 协议 的 基 
础 。 再 一 次 强调 ， 我 们 建议 有 兴趣 的 读者 可 以 参考 延伸 阅读 中 提 到 的 
文献 ， 去 了 解 更 多 更 加 详细 的 内 容 。 


孜 造 零 币 


堆 币 通过 狼 币 过 程 而 产生 ， 而 且 任何 人 都 可 以 狼人 造 一 个 标准 面值 
的 零 币 。 为 答 便 起 见 ， 我 们 认为 零 币 只 有 一 种 面值 ， 每 一 个 零 币 价值 
一 个 基础 币 。 虽 然 任 何人 都 可 以 锤 造 一 个 零 币 ， 但 是 产生 的 零 币 并 不 
目 动 具备 任何 价值 一 一 你 不 可 能 获得 免费 的 钱 。 只 有 把 零 币 放 到 区 块 
链 网 络 上 ， 并 且 通 过 消耗 一 个 基础 币 的 方式 ， 它 才能 具备 价值 。 


为 了 铸造 一 个 零 币 ， 你 需要 使 用 加 密 学 承诺 。 回 顾 一 下 我 们 在 第 1 
章 讲 过 的 内 容 ， 承 庄 方 案 类 似 于 将 一 个 值 放 入 一 个 信封 ， 并 将 信封 置 
于 所 有 人 的 视野 中 〈 见 图 6.11) 。 


图 6.11 一 个 序列 号 的 承诺 
注 ， 密 码 学 承诺 好 比 把 一 个 序列 号 封装 到 一 个 信封 里 。 


狼 造 零 币 的 过 程 分 为 三 步 : 
1. 生 成 一 个 序列 号 S 和 一 个 随机 密 钥 r 。 
2. 计 算 一 个 函数 Commit (S$，r) ， 这 是 序列 号 S 的 承 庄 。 


3. 如 图 6.12 所 示 ， 在 区 块 链 上 发 布 该 承诺 ， 这 需要 消耗 一 个 基础 


， 此 币 不 可 再 被 花费 ， 进 而 创建 了 一 个 零 币 。 此 时 并 S 和 r 仍 然 是 保密 
的 。 


Commit (S,，Tr)H(C) 


机 一 


图 6.12 在 区 块 链 网 络 上 设置 一 个 零 币 

注 : 为 了 将 一 个 零 币 置 于 区 块 链 中 ， 需 要 创建 一 个 铸币 交易 ， 其 输出 地 址 是 零 币 序列 号 的 一 个 
密码 承诺 ， 而 铸币 交易 的 输入 则 是 一 个 基础 币 ， 这 个 基础 币 也 会 在 创建 零 币 的 过 程 被 消耗 掉 ， 
整个 交易 过 程 并 不 需要 公示 这 个 序列 号 。 


为 了 消耗 一 个 零 币 并 赎 回 新 的 基础 币 ， 你 需要 证 明 你 之 前 已 经 铸 
造 了 一 个 堆 币 ， 你 可 以 通过 公开 之 前 的 承 诡 也 束 是 说 公示 S 和 r 的 值 来 证 
明 这 一 点 ， 但 是 这 样 显然 就 建立 了 一 es deed 
之 间 的 关联 那么 我 们 怎样 才能 打破 这 个 关联 昵 ? 这 个 时 候 束 用 到 零 
知识 验证 了 ， 在 任何 时 间 节 后， i 
一 一 我 们 将 其 命名 为 cl ，c2 ...,， cn 。 


以 下 是 消耗 一 个 具有 序列 号 S 的 零 币 以 赎 回 一 个 新 基础 币 的 步骤 : 


e 创建 一 个 特殊 的 “花费 ”交易 ， 这 个 交易 包含 序列 导 $S 和 一 个 具 
验证 的 声明 : “我 知道 在 承诺 对 象 (S，r) 中 的 r 在 以 下 的 
合 里 : fcl ，cp ，.…，cn }”。 


e 矿工 将 会 验证 你 的 零 知 识 验证 ， 这 将 给 予 你 打开 区 块 链 中 一 
个 零 币 承诺 的 能 力 ， 而 你 并 不 需要 真 的 打开 它 。 

e 矿工 也 会 得 询 序列 号 S， 确 认 这 个 零 币 没有 在 之 前 的 人 花费 交 
易 中 被 使 用 过 (为 了 防止 双重 消费 ) 

e 你 的 花费 交易 的 输出 将 形成 一 个 新 的 零 币 ， 你 应 使 用 你 所 拥 
有 的 一 个 地 址 来 作为 输出 地 址 。 


序列 : (S) 
支付 给 : (pk» 
图 6.13 花费 一 


: 花费 交易 展示 了 之 前 铸币 交易 中 所 锁定 的 FNS 以 及 S 和 之 ess 生 的 零 
知识 验证 。 不 像 一 个 铸币 交易 (或 者 一 个 普通 的 比特 币 了 基础 币 的 交易 ) ， 这 个 花费 交易 没有 
输入 地 址 ， 因 此 也 没有 签名 ， 只 有 一 个 零 知 识 验证 的 证 明 来 确立 它 的 有 效 性 


一 旦 你 人 花费 了 一 个 零 币 ， 其 序列 号 就 变 得 公开 了 ， 那 么 你 吕 不 能 
再 次 赎 回 同一 个 序列 号 所 对 应 的 零 币 ， 由 于 每 一 个 零 币 都 仅 有 唯一 的 
序列 号 ， 正 如 我 们 从 安全 角度 所 要 求 的 那样 ， 每 一 个 零 币 只 能 被 花费 
= 


匿名 性 。 在 整个 过 程 中 ， 我 们 可 以 发 现 r 一 直 是 保持 隐匿 状态 ， 
不 管 是 铸币 交易 还 是 花费 交易 都 没有 展示 过 r， 这 意味 着 没有 人 知道 哪 
一 个 序列 号 对 应 哪 一 个 具体 的 零 币 ， 这 束 是 零 币 匿名 性 背后 的 核心 概 
念 。 在 区 块 和 链 上 ， 生 成 序列 号 S 的 铸币 交易 和 稍 后 公示 S 以 赎 回 一 
币 的 花费 交易 之 间 ， 并 没有 关联 性 。 这 种 听 起 来 像 魔术 般 的 特性 是 无 
法 使 用 实体 的 封 痛 系统 来 实现 的 ， 但 在 密码 学 中 是 可 以 做 到 的 。 好 比 
我 们 在 桌 上 放 了 一 些 装 有 不 同 序列 号 的 密封 过 的 信封 ， 你 可 以 证 明 某 
一 个 序列 号 是 这 些 信 a 而 不 需要 展示 是 哪 一 个 ， 也 不 需 
要 打开 任何 一 个 信 入 


效率 。 回忆 一 下 我 们 在 花费 交易 中 证 明 过 的 一 个 声明 : 
“我 知道 在 承诺 对 象 (S，r) 中 的 r 在 以 下 的 集合 里 : ={c1 ，c2 


.., Cn}”? 


其 中 ，n 代 表 的 吉 是 曾经 被 创建 过 的 零 币 的 数量 。 听 起 来 这 种 零 知 
识 验 证 的 实施 会 变 得 非常 没有 效率 ， 因 为 证 明 中 包含 的 集合 大 小 会 随 
着 n 的 增加 而 线性 增 大 。 神 奇 的 是 ， 零 币 可 以 让 这 种 验证 的 复杂 度 仅仅 
征 n 的 对 数 。 我 们 需要 注意 到 这 一 点 ， 即 使 需要 被 验证 的 声明 的 长 度 是 
线性 的 ， 声 明 本 身 并 不 需要 被 包括 在 证 明 里 ， 而 是 隐 含 的 。 由 于 矿工 
们 知道 区 块 链 上 所 有 和 零 币 的 集合 ， 声 明 束 可 以 被 矿工 们 目 行 推 呆 出 
来 。 这 样 证 明 本 吴 束 可 以 非常 短 。 尽 管 如 此 ， 跟 比特 币 相 比 较 ， 零 币 
还 是 增加 了 相当 大 的 额外 开销 ， 大 概 50KB 。 


建立 信任 


用 于 搭建 零 币 的 工具 之 一 (RSA 累 加 器 ) 需要 进行 一 次 性 信任 设 
置 。 特 别 的 是 ， 一 个 被 信任 方 需要 选择 两 个 大 的 质数 p 和 q， 并 且 公 示 
N=pxq 作 为 所 有 人 在 系统 的 整个 生命 周期 中 使 用 的 参数 。 我 们 可 以 把 N 
看 作 一 个 公 钥 ， 只 不 过 它 被 用 于 所 有 的 零 币 而 不 是 仅仅 对 应 于 有 茶 一 个 
体 。 只 要 这 个 被 信任 方 ， 销 毁 任 何 关 于 p 和 qd 的 记录 ， 系 统 吏 可 以 被 认 
为 是 安全 的 。 需 要 强调 的 是 ， 这 一 做 法 是 基于 对 两 个 大 质数 的 积 进行 
因子 分 解 是 不 可 行 的 这 一 假设 的 普 壳 认可。 但 是 ， 如 果 任 何人 知道 了 
秘密 的 因数 p 和 q (也 被 称 为 “陷阱 门 ” ， 他 们 就 可 以 在 不 被 监测 到 的 情 
形 下 ， 为 目 己 创建 新 的 零 币 。 所 以 ， 这 些 秘密 的 输入 只 能 被 使 用 一 
次 ， 在 用 于 产生 相对 应 的 公 钥 后 束 被 销 驱 。 


这 里 有 一 个 有 趣 的 社会 学 问题 ， 一 个 个 体 怎么 选择 这 个 N 并 能 够 让 
每 个 人 相信 ， 在 设置 时 使 用 的 相对 应 的 质数 p 和 q， 已 经 被 安全 地 销毁 
了 ， 这 一 过 程 还 不 十 很 清楚 。 如 何 实现 这 个 目标 ， 会 有 很 多 不 同 的 方 
案 ， 其 中 就 包括“ 内 值 加 密 ” 搁 术 ， 该 拉 术 可 使 用 多 个 代理 协同 计算 出 
N， 而 只 要 其 中 一 个 代理 将 目 己 的 秘密 输入 销 又 ， 这 个 系统 吏 可 以 被 认 
为 是 安全 的 。 


我 们 还 可 以 使 用 其 他 略 有 不 同 的 加 蜜 构造 来 避免 设置 这 样 一 个 衫 
信任 方 。 特 别 是 ， 有 实践 表明 ， 随 机 生成 一 个 大 数 束 具有 很 高 的 安全 
性 ， 因 为 这 样 一 个 数 子 很 有 可 能 不 能 被 完全 分 解 。 但 遗憾 的 是 ， 这 样 
做 会 市 来 很 大 的 效率 冲击 ， 因 此 这 种 方法 并 不 实用 。 


零 钞 是 一 种 不 同 的 匿名 性 加 密 数 字 货 币 ， 它 建立 在 零 币 的 概念 之 
上 ,但 将 加 密 技术 提高 到 了 更 高 的 层次 。 零 钞 使 用 的 是 一 种 被 称 为 zk- 
SNARKS [41 的 密码 学 技术 ， 这 种 技术 可 以 使 得 零 知 识 验 证 更 加 简洁 、 
更 加 有 效率 ， 要 点 就 在 于 ， 系 统 的 整体 效率 可 以 达到 某 一 定 程度 ， 使 
得 整个 网 络 可 以 不 需要 依赖 一 种 基础 币 而 运行 ， 所 有 的 交易 都 可 以 以 
零 知 识 验证 的 方式 进行 。 如 我 们 所 看 到 的 ， 零 币 也 文 持 那些 本 不 需要 
无 关联 性 的 普通 交易 ， 只 不 过 在 其 上 做 了 计算 量 昂贵 的 寓 币 交易 进行 
付 充 。 这 种 混 币 交易 由 固定 面值 的 数字 币 组 成 ， 交 易 价 值 的 拆 分 与 合 
并 只 能 在 基础 币 系 统 里 实现 。 在 零 钞 系统 中 ， 这 种 差异 就 不 存在 了 ， 
交易 金额 的 大 小 被 封装 在 一 个 承诺 中 ， 在 区 块 链 上 不 再 可 见 ， 密 码 学 
证 据 确保 了 拆 分 与 合并 的 正确 性 ， 用 户 并 不 能 凭空 创造 出 零 钞 。 


账本 公开 记录 的 唯一 内 容 束 是 交易 的 存在 性 ， 以 及 矿工 们 用 来 难 
证 系统 正常 运行 所 需要 的 关键 属性 的 证 明 。 区 块 链 网 络 上 既 不 显示 区 
易 地 址 ， 也 不 显示 交易 价值 。 唯 一 需要 知道 交易 金额 的 用 户 ， 是 本 次 
交易 的 发 送 方 和 接收 方 ， 矿 工 们 是 不 需要 知道 的 。 当 然 ， 如 有 果 其 中 存 
在 交易 费用 ， 矿 工 们 则 需要 知道 的 仅仅 是 手续 费 ， 这 点 也 不 会 影响 匿 
名 保护 。 


束 匿 名 性 和 隐私 性 来 说 ， 零 钞 这 种 完全 不 可 奶 踩 的 交易 系统 目 成 
门派 。 因 为 公开 账本 并 不 包含 交易 金额 ， 零 钞 对 针对 混 币 服务 的 旁 路 
攻击 是 免疫 的 。 


建立 零 钞 系统 


按照 技术 属性 来 说 ， 零 钞 看 起 来 好 得 有 点 不 真实 。 其 实 它 确实 也 
有 自己 的 命 门 。 就 像 零 币 ， 零 钞 也 需要 一 个 公开 参数 "来 设置 这 个 零 知 
识 验证 系统 。 但 是 不 同 于 只 需要 一 个 几 百 个 字 节 长 度 的 数字 N 的 零 币 ， 
零 钞 需 要 的 是 一 个 很 大 的 公开 参数 集 _ 其 大 小 超过 1G 字 节 。 要 再 次 
强调 的 是 ， 为 了 生成 这 些 公开 参数 ， 零 钞 需要 一 组 随机 并 且 秘密 的 输 
入 。 如 果 任 何人 知道 了 这 些 秘密 输入 ， 就 会 产生 无 法 监测 的 双重 消费 
问题 ， 从 而 危及 整个 系统 的 安全 性 。 


在 这 里 ， 我 们 不 会 过 多 地 深入 探讨 设置 一 个 zk-SNARK 系 统 所 面临 
的 挑战 ， 这 个 问题 也 是 一 个 比较 活跃 的 研究 方向 ， 但 是 截至 2015 年 ， 
我 们 并 不 知道 如 何在 实际 操作 中 以 足够 稳妥 的 方式 建立 这 个 系统 。 迄 
今 为 止 ，zk-SNARK 还 没有 被 实际 运用 。 


现在 ， 让 我 们 从 匿名 性 以 及 实际 的 可 操作 性 两 个 方面 ， 来 比较 以 
下 我 们 所 探讨 的 这 些 方案 ， 见 表 6.1。 


表 6.1 本 章 所 讨论 的 匿名 技术 的 比较 


系统 类 型 对 匿名 性 的 攻击 可 部 署 性 


比特 币 化 名 交易 图 谱 分 析 默认 系统 
加 下 交易 图 谱 分 析 ， 恶 意 的 混 币 服 “_， 
工 混 混 

人 务 提供 商 , 恶意 的 混 币 对 于 方 。 “ 笋 记 用 

多 重 泥 币 / 汶 路 攻击 ， 恶 意 的 混 币 服务 担 
合 币 eh 供 商 , 恶意 的 温 币 对 手 广 Sh 
零 币 加 密 混 币 。。 旁 路 攻击 〈 存 在 可 能 性 ) 另类 币 ， 需 建立 信任 广 
零 钞 。 不 可 被 跟踪 未知 另类 币 , 需 建立 信任 方 


我 们 是 从 比特 币 ， 这 个 已 经 成 功 部 署 了 的 “默认 ”系统 开始 的 。 但 比 
符 币 只 是 化 名 系统 ， 我 们 看 到 ， 强 大 的 交易 图 详 分 析 是 可 能 攻击 比特 
币 的 匿名 性 的 一 种 可 行 办 法 。 我 们 也 探讨 了 案 集 大 量 地 址 簇 方式 ， 以 
及 如 何 关 联 真 实 世 界 的 身份 天 这 些 地 址 簇 的 方法 。 


匿名 化 技术 的 下 一 等 级 ， 是 用 人 工 的 方式 实现 一 个 单一 混 币 交 
易 ， 或 者 通过 人 人 工 找 交易 对 手 的 方式 来 实现 合 币 交易 ， 这 会 使 输入 地 
址 和 输出 地 址 之 间 的 天 联 变 得 模糊 ， 但 同时 也 会 在 交易 图 谱 中 留 下 了 
太 多 的 线索 。 除 此 之 外 ， 混 币 服务 提供 商 和 参与 节点 也 可 能 是 恶意 
的 ， 或 者 因为 被 墨客 攻击 的 ， 或 者 被 胁迫 公布 记录 的 。 即 使 从 匿名 性 
来 说 离 完 美 还 很 遥远 ， 但 视 币 服务 在 现实 中 存在 ， 并 且 是 现今 一 个 可 
用 的 选项 。 


我 们 讨论 的 第 三 个 等 级 的 匿名 性 ， 是 混 币 服务 链 或 者 合 币 交 易 。 
这 种 匿名 性 上 的 改进 ， 来 自 更 少 的 对 于 混 币 服务 提供 商 或 者 节点 组 的 
依赖 。 诸 如 标准 化 的 交易 区 块 大 小 和 客户 痢 的 目 动 化 等 特性 ， 可 以 最 
小 化 信息 泄露 的 可 能 性 ， 但 是 还 是 有 一 些 劳 路 风险 可 能 会 存在 。 同 
时 ， 也 还 是 存在 一 些 攻击 者 可 能 控制 或 者 勾结 多 个 混 币 服务 商 与 参与 
广 扩 而 市 来 的 风险 。 实 现 市 有 混 币 服务 链 功 能 的 钱包 和 服务 在 技术 上 


征 可 行 的 并 且 应 该 会 被 用 户 所 接受 ， 但 是 据 我 们 所 知 ， 一 个 安全 的 混 
币 链 解决 方案 还 不 存在 。 


接 下 来 ， 我 们 探讨 了 把 加 密 技 术 直 接应 用 到 协议 层 并 提供 匿名 化 
的 数学 保证 的 零 币 。 我 们 认为 零 币 的 学 路 攻击 风险 还 是 存在 的 ， 但 是 
明显 已 经 优 于 其 他 的 混 币 解决 方案。 不 过 ， 零 币 需 要 作为 相对 于 比特 
币 的 一 种 男 类 币 的 方式 发 行 。 


最 后 ， 我 们 探讨 了 零 钞 。 通 过 效率 上 的 改进 ， 零 钞 可 以 作为 一 个 
完全 无 法 奶 踩 一 一 不 仅仅 是 匿名 化 一 一 的 加 密 数 字 人 货币。 然而 ， 束 像 
零 币 一 样 ， 零 钞 和 比 符 币 并 不 兼容 ， 更 精 薰 的 是 ， 零 钞 需 要 一 个 非常 
复杂 的 建立 流程 ， 数 字 币 领域 仍然 在 研究 如 何 用 最 好 的 方式 来 实现 
re 

在 本 章 中 ， 我 们 讨论 了 很 多 技术 。 现 在 让 我 们 退 一 步 看 ， 比 特 币 
的 匿名 性 (或 者 匿名 潜力 ) 是 强大 的 ， 当 和 其 他 一 些 技术 配合 的 时 候 
会 更 加 强大 ， 尤 其 是 在 匿名 通信 方面 。 如 我 们 在 第 7 章 中 将 要 讨论 的 ， 
这 征 一 些 匿名 在 线 市 场所 使 用 的 强 有 力 的 技术 组 合 方式 。 


尽管 匿名 化 技术 是 强大 的 ， 但 同时 也 是 脆弱 的 。 一 个 错误 就 可 能 
造成 一 个 我 们 不 布 望 看 到 的 ， 但 又 是 不 可 逆 的 关联 。 匿名 化 有 一 些 显 
而 易 见 的 有 害 应 用 ， 但 同时 也 存在 很 多 有 益 的 应 用 ， 所 以 是 值得 保护 
的 。 虽 然 道德 层面 上 的 区 分 很 重要 ， 我 们 还 是 无 法 在 技术 层面 清楚 地 
辨识 。 匿 名 技术 看 起 来 具有 深入 的 和 固有 的 道德 模糊 性 ， 作 为 人 类 社 
会 的 一 员 ， 我 们 必须 学 会 怎么 面 对 这 个 现实 。 


和 关于 比特 币 的 道德 争论 一 样 ， 比 特 币 的 匿名 性 也 是 一 个 很 活 区 
的 技术 创新 领域 。 我 们 仍然 不 知道 比特 币 的 哪 一 种 匿名 系统 ， 如 果 存 
在 的 话 ， 将 会 脱 疾 而 出 成 为 主流 。 这 也 将 是 每 一 个 人 的 机 会 一 一 不 管 
你 是 一 个 开发 者 、 一 个 政策 制定 者 ， 还 是 一 个 普通 用 户 一 一 每 个 人 都 


可 以 参与 其 中 并 做 出 贡献 ， 硕 望 你 在 本 章 中 里 所 学 到 的 内 容 ， 可 以 为 
你 提供 一 些 正确 的 背景 知识 去 采取 行动 。 
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[1] 所 谓 软 分 又 在 比特 币 中 的 含义 是 对 协议 进行 向 前 兼容 的 修改 。 修 改 后 的 新 版 本 会 造成 
原 有 的 部 分 区 块 或 交易 无 效 ， 但 是 按 更 新 后 的 协议 产生 的 新 交易 和 区 块 在 旧 协 议 下 是 有 效 的 。 
换 句 话 说， 新 协议 是 原 协 议 的 一 个 子 集 。 译 者 注 
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神似 。 一 一 译 者 注 


六 把 


第 7 章 
社区 、 政 治 和 监管 


在 本 章 中 ， 我 们 将 研究 比特 币 世界 和 数字 加 密 货 币 技术 是 如 何 影 
啊 世 界 的 ， 并 探讨 比特 币 社区 的 内 部 政治 以 及 比特 币 是 如 何 与 传统 政 
治 ， 即 执法 和 监管 问题 互相 影响 的 。 


7.1 关于 比特 币 的 共识 


首先 ， 让 我 们 看 一 下 在 比特 币 问 题 上 已 达成 的 共识 ， 它 是 比特 币 
运行 的 基础 。 为 使 比特 币 顺畅 运行 ， 人 们 必须 束 以 下 三 个 问题 达成 共 


去 
站 
A\ 


< 


1. 关 于 规则 的 共识 。 这 里 所 说 的 规则 征 指 包括 确保 交易 或 区 块 有 效 
的 机 制 ， 及 比特 币 运 行 时 涉及 的 核心 协议 和 数据 格式 等 内 容 。 人 们 需 
要 束 这 些 规则 达成 共识 ， 这 样 ， 比 特 币 系统 中 的 所 有 参与 者 才 能 融 发 
生 的 情况 相互 沟通 并 达成 协议 。 


2. 关 于 历史 记录 的 共识 。 也 就 是 说 ， 参 与 者 必须 对 区 块 链 的 内 容 ， 
包括 哪些 是 属于 区 块 链 ， 哪 些 是 不 属于 区 块 链 的 内 容 达成 共识 ， 这 
样 ， 人 人 们 才能 束 如 何 确 认 已 发 生 的 交易 达成 共识 。 在 此 基础 上 ， 和 人们 
束 可 以 对 比特 币 、 未 动用 产 出 的 数额 及 拥有 人 达成 共识 。 这 一 共识 源 
目 区 块 链 的 创建 过 程 和 使 各 个 节点 对 区 块 链 内 容 的 理解 达成 一 致 的 过 
程 ， 我 们 已 经 在 第 1 章 和 第 2 章 中 对 这 些 过 程 进行 了 描述 。 这 有 是 比特 币 
中 最 第 用 且 技 术 上 最 复 洒 的 一 种 共识 。 


3. 关 于 比特 币 价值 的 共识 。 第 三 种 共识 要 求人 们 普遍 认为 比特 币 是 
有 价值 的 ， 比 如 ， 如 采 有 人 今天 给 了 你 一 个 比特 币 ， 你 明天 整 能 够 将 
它 竞 现 或 用 它 换取 到 有 价值 的 东西 。 任 何 一 种 货币 ,不管 是 像 美 元 这 
样 的 法 定货 币 ， 还 是 像 比特 币 一 样 的 数字 加 密 货 币 ， 赖 以 存在 的 基础 
都 是 其 具有 价值 的 共识 。 也 就 是 说 ， 人 们 普通 接受 可 以 用 它 进行 交 
易 ， 在 现在 或 未 来 可 以 用 它 换取 其 他 有 价值 的 东西 。 


对 于 法 定货 币 ， 第 三 种 共识 是 唯一 的 共识 。“ 货 币 有 价值 "这 一 共识 
不 是 由 规则 决定 的 ， 法 律 规定 了 它 古 不 是 钞票 。 历 史记 有 杂 并 不 重要 ， 


但 是 状态 很 重要 一 一 谁 拥 有 什么 。 状 态 由 物质 占有 (如 持 有 现金 ) 或 
专业 记录 (如 银行 ) 来 决定 。 然 而 ， 对 于 数字 加 密 货币 ， 人 们 还 需要 
对 规则 和 历史 记录 达成 共识 。 


对 于 比特 币 ， 与 其 他 共识 不 同 的 是 ， 这 第 三 种 共识 具有 一 定 的 循 
环 性 。 即 ， 我 相信 我 今天 收 到 的 比特 币 是 有 价值 的 ， 这 取决 于 我 希望 
明天 收 到 这 个 比特 币 的 人 同样 相信 它 的 价值 。 因 此 ， 对 价值 共识 的 基 
础 在 于 对 价值 延续 性 的 共识 。 这 有 时 被 称 为 “仙子 效应 ” (Tinkerbell 
effect) ， 这 个 名 字 来 源 于 童话 故事 《彼得 潘 》， 仙 子 之 所 以 存在 ， 是 
因为 你 相信 她 存在 。 


不 论 是 否 循环 ， 对 于 价值 的 共识 都 是 存在 的 ， 这 对 比特 币 系 统 的 
运行 至 关 重 要 。 而 且 ， 还 有 很 重要 的 一 点 是 ， 这 三 种 共识 相互 天 联 ， 
如 图 7.1 所 示 。 


关于 规则 的 共识 


关于 比特 币 价值 的 共识 
关于 历史 记录 的 共识 


图 7.1 关于 比特 币 的 三 种 共识 之 间 的 关系 


首先 ， 对 规则 与 对 历史 记录 的 共识 相互 依赖 。 如 果 不 知 道 哪些 区 
块 是 有 效 的 ， 也 束 无 法 对 区 块 链 达 成 共识 。 如 于 不 能 对 区 块 链 中 有 哪 
些 区 块 达成 共识 ， 也 就 无 法 判断 交易 是 否 有 效 ， 进 而 无 法 判断 有 没有 
双重 文 付 的 企图 。 


对 历史 记录 和 对 比特 币 价值 的 共识 也 紧密 相关 。 对 历史 记录 的 共 
识 意味 着 我 们 同意 谁 拥 有 哪些 比特 币 ， 这 是 比特 币 具有 价值 的 先决 条 


件 一 一 例如 我 拥有 一 个 比特 币 ， 如 采 不 能 通过 历史 记录 对 此 达成 共 
识 ， 我 束 不 能 指望 将 来 茶 一 天 我 会 把 这 个 比特 币 付 给 菜 人 换取 其 他 东 
西 。 反 之 亦 然 一 一 在 第 2 章 我 们 讨论 过 ， 对 比特 币 具 有 价值 的 共识 ， 激 
励 着 矿工 维护 区 块 链 的 安全 ， 这 又 促使 我 们 对 历史 记录 达成 共识 。 


比特 币 原 始 设计 的 天 才 之 处 就 在 于 ， 它 意识 到 靠 上 自己 本 号 很 难 达 
成 这 三 种 共识 的 任何 一 种 。 在 一 个 没有 号 份 概 念 的 、 去 中 心 化 、 全 世 
界 范 围 内 运行 的 系统 中 ， 要 达成 关于 规则 的 共识 征 不 可 能 的 。 


类 似 地 ， 对 历史 记录 的 共识 是 一 个 复 淋 的 分 获 式 数据 结构 问题 ， 
很 难 徘 目 己 解 决 。 此外， 对 菏 种 数 子 加 密 货 币 具有 价值 的 共识 也 很 难 
达成 。 但 比特 币 的 设计 以 及 运行 模式 表明 ， 尽 管 无 法 徘 系 统 本 吴 达 成 
这 三 种 共识 中 的 任意 一 种 ， 不 过 可 以 通过 某 种 方式 将 这 三 种 共识 组 合 
在 一 起 ， 并 让 它们 以 一 种 相互 依存 的 方式 发 挥 作用 。 因 此 ， 在 讨论 比 
特 币 社区 的 运作 模式 时 ， 我 们 必须 牢记 ， 比 特 币 系统 的 运行 取决 于 参 
与 者 的 共识 ， 而 且 这 种 共识 是 十 分 脆弱 的 ， 交 织 着 各 种 技术 和 社交 元 
素 。 


7.2 比特 币 核心 钱包 软件 


比特 币 核心 钱包 (bitcoin core) 是 一 款 开 源 软 件 ， 是 对 比特 币 规则 
进行 讨论 和 争议 的 焦点 。 这 球 软 件 由 极为 宽松 的 开源 (open source) 许 
可 证 一 一 MIT 许 可 证 认证 。 只 要 注 明 版 权 声明 和 许可 声明 ， 就 可 以 将 该 
软件 用 于 各 种 用 途 。 比 特 币 核心 钱包 是 目前 运用 最 为 广泛 的 一 款 比特 
币 软件 。 即 便 不 利用 它 进 行 软件 开发 ， 许 多 人 也 会 通过 人 研究 它 来 了 解 
比特 币 的 规则 。 在 构建 其 他 比特 币 软件 时 ， 人 们 会 借鉴 其 规则 定义 部 
分 的 内 容 ， 包 括 判定 交易 和 区 块 的 有 歼 性 。 


比特 币 核心 钱包 实际 是 比特 币 的 规则 手册 。 通 过 研究 比特 币 核 
心 钱 包 及 其 相关 解释 ， 可 以 了 解 到 在 比特 币 系 统 中 真正 有 效 的 内 


yy 


= 


比特 币 改进 方案 


任何 人 都 可 以 通过 “提交 请 求 ”(pull requests) 按钮 ， 帮 助 比特 币 
核心 钱包 进行 技术 改进 ， 这 一 过 程 在 开源 软件 (open-source software) 
世界 极为 常见 。 若 想 对 软件 进行 更 大 的 改动 ， 特 别 是 对 协议 进行 修 
改 ， 则 可 以 通过 一 个 较为 正式 的 叫 作 比特 币 改 进 方 案 (Bitcoin 
Improvement Proposal， 简 称 BIP) 的 流程 来 实现 。 因 此 ， 如 果 你 有 意 通 
过 技术 改变 来 改进 比特 币 ， 你 可 以 把 你 的 想法 写 下 来 ， 根 据 比 特 币 改 
进 方案 的 要 求 ， 与 其 他 文件 一 起 公开 发 表 。 这 会 触发 比特 币 社区 就 你 
的 方案 进行 讨论 ， 并 决定 下 一 步行 动 。 虽 然 任 何人 都 可 以 提交 正式 方 


， 但 正如 所 有 开源 项 目 (open-source project) 一 样 ， 这 存在 学 习 曲 


深 亲 


BIP 以 编号 序列 形式 发 布 ， 每 项 方案 有 一 名 拥护 者 ， 负 责 宣传 方 
` 协调 讨论 活动 并 努力 促成 方案 在 比特 币 社区 向 前 顺利 开展 或 实 


壁灯 


我 们 上 面 所 说 的 内 容 适用 于 对 拉 术 更 改 的 方案 。 事 实 上 ， 也 存在 
一 些 BIP， 或 者 只 是 为 了 提供 信息 ， 传 播 天 于 比特 币 的 知识 ， 或 者 将 之 
前 仅 在 源 代码 中 明确 的 部 分 代码 进行 标准 化 。 而 其 他 一 些 BIP 侧 重 流 
程 ， 讨 论 比特 币 社区 如 何 决 策 事项 。 


总 之 ， 除 了 包含 规则 手册 中 的 内 容 外 ，BIP 还 包含 方案 、 制 定 和 讨 
论 规则 变更 的 流程 。 


比特 币 核心 钱包 开发 人 员 


要 了 解 比特 币 核心 钱包 的 作用 ， 我 们 需要 了 解 比特 币 核心 钱包 开 
发 人 员 所 发 挥 的 作用 。 原 始 代 码 的 作者 是 中 本 陪 (Satoshi 
Nakamoto) ， 我 们 在 7.4 市 还 会 介绍 。 现 在 ， 中 本 聪 本 人 已 经 不 再 活 
路 ,但 还 有 一 群 开发 人 员 在 维护 大 软件 。 有 数 百名 开发 者 在 为 这 个 项 
目 写 代码 ， 但 只 有 少数 几 个 人 拥有 对 核心 钱包 数据 库 的 “ 调 
配 ”(commit) 权限 。 这 些 核心 钱包 的 首席 开发 人 员 持 续 维 护 该 软件 ， 
并 决定 哪些 新 代码 可 以 加 入 软件 新 版 本 中 。 


这 些 人 的 权力 有 多 大 ? 从 某 种 意义 上 说 ， 他 们 的 权力 是 很 大 的 ， 
因为 他 们 对 代码 做 出 的 规则 改变 终 将 圣 现在 比特 币 核心 线 包 中 ， 这 些 
规则 会 默认 被 遵守 。 这 些 人 写 下 比特 币 事实 上 的 规则 手册 。 但 从 另 一 
个 角度 来 看 ， 他 们 根本 避 ® 没 有 什么 权力 。 因 为 这 是 一 款 开源 软件 ， 任 


何人 都 可 以 复制 、 修 改 它 《随时 创建 一 个 比特 币 分 又 ) 。 因 此 ， 如 果 
首席 开发 人 员 的 表现 不 被 社区 接受 ， 社 区 可 能 走 同 不 同 的 方向 。 


可 以 这 么 想 ， 首 席 开 发 人 员 吏 像 在 引领 游行 队伍 前 进 。 他 们 在 队 
伍 的 最 前 面 ， 当 他 们 拐 变 时， 队伍 一 般 会 跟着 他 们 毛 变 。 但 是 如 果 他 
们 试图 把 队伍 带 入 灾难 性 的 境地 ， 那 么 队伍 中 的 其 他 成 员 可 能 会 选择 
不 同 的 方 辐 。 这 些 在 司 开 发 人 员 可 以 敦促 社区 ， 但是， 如果 他 们 试图 
把 系统 市 入 不 个 社 区 接受 的 技术 方 品 ， 他 们 并 没有 正式 的 权力 ， 来 迫 
使 人 们 跟随 他 们 。 


现在 来 思考 一 下 ， 作 为 系统 的 使 用 者 ， 如 琳 你 不 喜欢 它 的 规则 或 
系统 运行 的 方式 ， 能 够 做 些 什么 ， 并 与 集中 式 货 币 《如 法 定货 币 ) 进 
行 比较 。 在 集中 式 从 币 系 统 中 ， 如 琳 有 异议 ， 你 有 权 退 出 ， 也 就 古 
说 ， 你 可 以 不 用 它 。 你 必须 想 办 法 把 持 有 的 货币 卖 出 ， 然 后 移居 到 使 
用 另 一 种 货币 的 地 方 。 有 了 集中 式 货币 ， 退 出 是 你 的 唯一 选择 。 


在 比特 币 系 统 ， 你 当然 也 有 权 退 出 ， 但 是 ， 因 为 它 作 为 开源 系统 
(open-source system) 运行 ， 你 就 有 了 对 规则 进行 分 又 的 权利 。 也 就 
是 说 ， 你 、 你 的 朋友 和 同事 可 以 选择 运行 一 套 不 同 的 规则 ， 而 且 ， 通 
过 对 规则 进行 分 又 ， 走 向 与 首席 开发 人 员 不 同 的 方向 。 与 退出 相 比 ， 
分 又 赋予 用 户 更 多 的 权力 ， 像 比特 币 这 样 开源 系统 的 社区 比 完全 集中 
系统 的 社区 拥有 更 多 权力 。 所 以 ， 虽然 首 记 开发 人 员 看 似 一 个 拥有 控 
制 权 的 集权 式 实体 ， 事 实 上 ， 他 们 并 不 拥有 一 个 完全 集权 式 管 理 人 员 
或 软件 所 有 者 所 拥有 的 权力 。 


规则 分 文 


创建 软件 分 文 或 规则 分 又 的 一 种 方式 是 ， 以 新 的 创 世 区 块 创 建新 
的 区 块 链 。 人 们 经 党 通过 这 种 方式 来 创建 另类 币 ， 我 们 将 在 第 10 章 谈 


到 这 个 问题 。 现 在 ， 我 们 来 谈 谈 对 规则 的 另 一 种 分 又 ， 这 种 分 叉 不 仅 
对 规则 进行 分 又 ， 还 对 区 块 链 进行 分 又 。 


在 第 3 章 中 ， 我 们 谈 到 了 硬 分 又 和 软 分 叉 之 间 的 区 别 ， 这 里 我 们 谈 
的 是 硬 分 又 。 当 对 规则 有 分 皮 时 ， 区 块 链 中 会 有 分 又 ， 导 致 两 个 分 
文 。 其 中 一 个 分 文 在 规则 A 下 有 效 ， 而 在 规则 B 下 无 效 ， 反 之 亦 然 。 矿 
工 一 旦 在 两 种 不 同 的 规则 下 操作 ， 他 们 就 无 法 合并 到 一 起 ， 因 为 每 个 
分 文部 将 包含 在 妨 一 规则 下 无 效 的 交易 或 区 块 。 见 图 7.2。 
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在 规则 A 下 有 效 ， 
规则 B 下 无 效 


在 规则 B 下 有 效 ， 
规则 A 下 无 效 


图 7.2 货币 中 的 分 又 
注 : 如 果 规 则 的 分 又 导 致 区 块 链 的 硬 分 又 ， 那 么 货币 本 身 就 会 分 又 成 两 种 狐 货 币 。 


我 们 可 以 把 分 义 前 的 货币 看 作 比 符 币 ， 深 受 人 们 认同 和 喜爱 的 比 
等 币 。 分 又 之 后 ， 出 现 两 种 新 货币 ， 符 合 规则 A 的 货币 A 和 符合 规则 B 
的 货币 B。 分 又 时， 每 一 个 持 有 一 个 比特 币 的 人 得 到 一 个 货币 A 和 一 个 
货币 B。 分 又 后， 货币 A 和 货币 B 开 始 分 开 运行 ， 而 且 它 们 可 能 会 独立 
运行 。 这 两 者 的 规则 还 可 能 以 不 同方 式 继续 发 展 。 


需要 强调 的 是 ， 不 仅仅 是 软件 ， 或 规则 ， 或 实现 规则 的 软件 分 又 
， 货 币 本 身 也 分 又 了 。 这 个 有 趣 的 现象 只 可 能 发 生 加 密 数 字 货 
， 却 不 能 发 生 在 传统 货币 中 ， 因 为 传统 货币 并 不 允许 用 户 将 货币 进 
分 又。 束 目 前 我 们 所 了 解 的 情况 ， 不 管 古 比特 币 还 是 任何 男 类 币 ， 
肖 未 以 这 种 方式 分 又 过 ， 但 确实 存在 这 个 奇妙 的 可 能 。 


El 


人 们 会 对 这 样 的 分 义 做 出 何 种 反应 呢 ? 这 取决 于 分 义 的 原因 到 扩 
是 什 么 。 第 一 种 情况 是 ， 进 行 分 又 的 原因 并 不 是 对 规则 存在 异议 ， 而 
征 想 创建 一 种 另类 币 。 如 果 想 创建 一 种 与 比特 币 规则 类 似 的 另类 币 ， 
有 些 人 会 通过 将 比特 币 的 区 块 链 分 又 的 方式 来 实现 。 这 对 比特 币 社区 
来 说 并 不 构成 真正 的 问题 ， 男 类 币 单独 运行 ,与 比特 币 主 分 文 和 平 共 
存 ， 一些 人 仿 好 比特 币 ， 男 一 些 人 更 仿 好 为 类 币 。 但 是 ， 正 如 之 前 我 
们 说 过 的 ， 截 至 目前 ， 还 没有 人 通过 将 比特 币 或 现 有 为 类 币 的 区 块 链 
分 义 的 方式 来 创建 新 的 男 类 币 ， 他 们 一 般 都 通过 新 的 创 世 区 块 来 创 
建 s 


一 个 有 趣 的 情况 是 ， 如 条 分 又 的 原因 是 人 们 对 比特 币 的 未 来 发 展 
存在 分 歧 ， 换 言 之 ， 比 特 币 社区 内 部 发 生 叛 乱 ， 因 为 一 些 成 员 认为 目 
己 对 系统 如 何 运行 有 了 更 好 的 想法 ， 决 定 脱离 出 去 。 在 这 种 情况 下 ， 
两 个 分 支 成 为 对 手 ， 会 争夺 市 场 份 额 。 货 币 A 和 货币 B 都 会 努力 说 服 更 
多 商家 接受 它 ， 让 更 多 人 购买 它 。 每 种 货币 都 想 成 为 真正 的 比特 币 ”。 
它们 都 声称 目 己 是 合法 的 ， 并 将 对 方 摘 述 成 一 个 怪 胎 ， 这 可 能 会 引发 
一 声 公 天 之 成 。 


结 朱 很 可 能 束 定 某 一 分 文 胜 利 ， 另 一 分 文 则 渐 痢 消失 在 人 们 的 视 
线 中 。 这 种 类 型 的 竞争 往往 指 同 某 一 方 同 。 一 旦 人 们 认为 这 两 个 分 文 
中 的 某 一 个 更 合法 并 获得 了 更 大 的 市 场 份 额 ， 网 络 效 应 会 越 来 越 明 
显 ， 而 另 一 种 货币 将 成 为 一 种 利 基 (niche) 上 货币 并 将 最 终 消 失 。 获 
胜 方 的 规则 和 管理 染 构 将 成 为 比特 币 事 实 上 的 规则 和 管理 架构 。 


[1 (商业 用 语 ) 是 指针 对 企业 的 优势 细 分 出 来 的 市 场 ， 这 个 市 场 不 大 ， 而 且 没 有 得 到 令 
人 满意 的 服务 。 产 品 推进 这 个 市 场 ， 有 伪 利 的 基础 。 在 这 里 特 指针 对 性 、 专 业 性 很 强 的 货币 。 
一 译 者 注 


— 


7.3 利益 相关 者 : 谁 是 掌权 者 


比特 币 的 利益 相关 者 有 哪些 ? 真正 掌权 的 又 是 谁 ? 我 们 已 经 讨论 
过 比特 币 的 基础 是 人 们 对 筷 达 成 的 共识 以 及 它 的 规则 手册 是 如 何 编写 
而 成 的 ， 分 析 过 分 又 的 可 能 性 以 及 因为 对 规则 存在 异议 而 可 能 引发 的 
斗争 ， 那 么 ， 谁 有 权 决 定 斗 争 的 胜利 者 呢 ? 现 在 我 们 来 谈 谈 这 个 问 


题 。 


换言之 ， 如 果 比 特 币 社区 存在 关于 规则 设 定 的 讨论 和 谈判 ， 而 谈 
判 失败 了 ， 我 们 想 知道 谁 将 对 最 终结 果 有 决定 权 。 通 常 来 说， 在 一 场 
谈判 中 ， 对 谈判 协议 拥有 最 佳 选 择 的 一 方 具有 优势 。 因 此 ， 搞 清楚 谁 
更 有 可 能 获胜 ， 将 帮助 我 们 了 解 谁 会 在 关于 比特 币 未 来 的 讨论 和 谈判 
中 占据 上 风 。 


我 们 代表 许多 不 同 的 利益 相关 者 做 出 如 下 声明 : 


1. 比 特 币 核心 钱包 首席 开发 人 员 拥 有 权力 一 一 他 们 编写 规则 手 
册 ， 几 乎 人 人 都 要 使 用 他 们 的 代码 。 


2. 矿 工 拥有 权力 一 一 他 们 编写 历史 记录 ， 决 定 哪些 交易 是 有 效 
的 。 如 采矿 工 选择 某 一 套 特 定 的 规则 ， 理 论 上 来 说 ， 其 他 人 也 必须 要 
遵守 它 。 拥 有 更 强 采 矿 能 力 的 分 又 将 创建 一 个 更 强大 、 更 安全 的 区 块 
链 ， 因 此 ， 更 有 能 力 把 规则 蔓 某 一 方 同 推进 。 矿 工 到 撒 拥 有 有 多 大 的 
权力 取决 于 分 又 是 硬 分 又 还 是 软 分 又 ， 但 不 管 是 哪 种 分 又 ， 他 们 都 是 
拥有 一 定 权力 的 。 


3. 投 资 人 拥有 权力 一 一 他 们 购买 并 持 有 比特 币 ， 决 定 了 比特 币 是 
否 具 有 价值 。 可 以 说 ， 开 发 人 员 决 定 了 对 规则 的 共识 ， 矿 工 决 定 了 对 


历史 记录 的 共识 ， 那 么 ， 投 资 人 决定 了 对 比特 币 价 值 的 共识 。 在 硬 分 
叉 的 情况 下 ， 如 采 大 多 数 投资 人 决定 把 他 们 的 钱 投入 货币 A 或 货币 B 
中 ， 那 么 该 特定 分 文 吏 被 认为 是 合法 的 。 


4. 商 家 及 其 客户 拥有 权力 一 一 他 们 构成 对 比特 币 的 主要 需求 。 我 
们 在 第 4 章 中 讨论 过 ， 虽 然 投 资 人 能 够 一 定 程度 上 文 持 货币 价格 ， 但 推 
高 货币 价格 的 主要 需求 来 产 于 将 比特 币 作 为 一 种 文 付 技术 促成 交易 的 
需求 。 因 此 ， 投 资 人 只 是 对 未 来 比特 币 的 需求 做 出 推测 。 


5. 文 付 服务 商 拥有 权力 一 一 它们 处 理 交 易 。 许 多 商家 并 不 在 意 它 
们 使 用 的 是 哪 种 货币 ， 它 们 只 想 与 一 家 文 付 服务 商 合作 ， 文 付 服务 商 
允许 顾客 用 加 密 数 字 货 币 进行 文 付 ， 承 担 全 部 风险 ， 并 在 每 日 结束 时 
跟 目 己 结账 。 因 此 ， 很 有 可 能 征文 付 服务 商 构成 了 主要 需求 ， 商 家 、 
顾客 和 投资 人 只 是 跟随 者 。 


你 可 能 已 经 猜 到 了 ， 这 些 观点 都 有 其 合理 性 ， 所 有 这 些 群 体 都 有 
一 定 的 权力 。 要 想 成 功 ， 一 种 电子 货币 需要 以 下 不 同形 式 的 共识 
由 开发 人 员 编 写 的 稳定 的 规则 手册 、 采 矿 能 力 、 投 资 、 丙 家 和 顾客 的 
参与 以 及 文 持 他 们 的 文 付 服务 商 。 所 以 ， 所 有 这 些 参与 方 都 对 影响 比 
特 币 未 来 发 展 的 斗争 结果 有 一 定 的 话语 权 ， 但 没有 哪 一 方 是 拥有 绝对 
控制 权 的 。 这 有 是 一 个 庞大 、 曲 折 且 混乱 的 建立 共识 的 过 程 。 


男 一 个 与 比特 币 管理 相关 的 组 织 叫 比特 币 基 金 会 (the Bitcoin 
Foundation) ， 它 成 立 于 2012 年 ， 成 立 之 初 是 一 家 非 营利 组 织 。 现 在 它 
主要 扮演 两 个 角色 : 其 一 ， 它 从 资产 中 拿 出 一 部 分 资助 比特 币 核心 钱 
包 开 发 人 员 ， 以 便 他 们 可 以 全 力 以 赴 开 发 软件 ， 其 二 ， 它 与 政府 ， 特 
别 是 与 美国 政府 沟通 ， 作 为 比特 币 的 发 声 机 构 。 


现在 ， 比 特 币 社区 的 一 些 成 员 认 为 ， 比 特 币 的 运行 应 该 游离 并 独 
立 于 传统 的 国家 政府 。 他 们 认为 比特 币 应 该 跨国 运行 ， 它 不 需要 问 政 
府 解释 或 证 明 目 己 ， 也 不 需要 与 他 们 谈判 。 其 他 人 则 不 这 么 认为 。 他 


们 认为 被 监管 无 法 规避 ， 甚 至 是 有 和 益 的 。 他 们 硕 望 政府 了 解 比特 币 社 
区 的 利益 所 在 ， 昕 到 比特 币 社区 的 声音 。 比 特 币 基金 会 的 诞生 部 分 是 
为 了 满足 这 个 需求 ， 可 以 说 ， 比 特 币 被 人 们 理解 和 接受 ， 很 大 程度 上 
要 归功 于 比特 币 基金 会 一 直 以 来 与 政府 之 间 的 沟通 工作 。 


开放 协议 (open protocol) 的 治理 


我 们 已 经 对 比特 币 系 统 进 了 一 些 描述 ， 在 这 个 系统 中 ， 利 益 
并 不 完全 一 致 的 众多 利益 相关 者 在 开放 协议 和 系统 中 相互 协作 ， 
达成 技术 上 的 和 社会 性 的 共识 。 这 可 能 让 你 想起 互联 网 本 号 。 比 
特 币 核心 钱包 和 互联 网 的 发 展 过 程 确 有 共同 之 处 。 例 如 ，BIP 残 类 
似 于 “评议 请 求 ” (Request for Comments， 人 简称 RFC) ，RFC 是 一 种 
用 于 设置 互联 网 标准 的 文件 。 


比特 币 基 金 会 一 直 备 受 争 议 。 基 金 会 的 一 些 董事 会 成 员 着 人 了 犯 
徘 或 金钱 丑闻 ， 人 们 对 他 们 在 多 大 程度 上 能 代表 比特 币 社区 存在 疑 
问 。 基 金 会 面临 着 要 迅速 调整 此 类 将 带 来 负面 影响 的 董事 会 成 员 ， 但 
这 会 各 来 挑战 。 人 们 指 员 它 缺 乏 透明 度 ， 而 且 正 在 迅速 走向 破产 。 截 
至 2015 年 ， 比 特 币 基金 会 能 够 在 比特 币 的 未 来 发 展 中 发 挥 多 大 的 作用 
尚 不 明确 。 


男 一 个 非 营 利 性 组 织 “ 货 币 中 心 ”(Coin Center) 成 立 于 2014 年 9 
月 ， 总 部 位 于 华盛顿 特区 ， 承 担 了 比特 币 基金 会 的 部 分 职能 ， 充 当 宣 
传 和 与 政府 沟通 的 角色 。 货 币 中 心 的 运作 类 似 一 个 智 赛 团 ， 和 截至 2015 
年 年 初 ， 它 受到 的 争议 较 小 。 比 特 币 基金 会 和 货币 中 心 对 比特 币 的 控 
制 权 都 比 不 上 其 他 的 任何 一 方 利益 相关 者 。 同 开源 代码 的 生态 系统 
的 所 有 事物 一 样 ， 这 种 代表 性 实体 机 构 是 否 能 成 功 、 其 合法 性 能 否 获 


得 公众 认可 ， 取 决 于 随 着 时 间 的 推移 ， 它 们 能 够 在 比特 币 社 区 获得 多 


少 文 持 和 资金 。 


总 之 ， 还 没有 一 个 实体 机 构 或 群体 对 比特 币 的 演化 拥有 绝对 的 控 
制 权 。 从 另 一 种 意义 上 来 说 ， 每 个 人 都 能 够 决定 比特 币 未 来 的 演化 ， 
因为 管理 比特 币 的 正 是 人 们 对 比特 币 系 统 如 何 运作 所 达成 的 共识 
对 规则 、 历 史记 录 和 价值 这 三 个 相互 关联 的 方面 所 达成 的 共识 。 任 何 
一 种 规则 集合 、 群 体 或 管理 架构 ， 只 要 能 够 维持 在 这 三 方面 的 持久 共 
识 ， 束 能 够 在 真正 意义 上 决定 比特 币 的 未 来 。 


7.4 比特 币 的 起 源 


现在 我 们 来 谈 一 谈 比 特 币 的 起 源 。 它 是 如 何 开始 的 ? 它 的 前 号 是 
什么 ? 我 们 对 其 神秘 的 创始 人 了 解 多 少 ? 


密码 朋 殉 和 数 子 贷 


比特 币 其 中 一 个 值得 一 提 的 前 身 是 密码 朋克 〈cypherpunk) ， 一 项 
谍 涌 了 两 种 观点 的 运动 。 首 先是 目 由 主义 ， 特 别 是 认为 如 果 没 有 或 者 
极 少 政府 干预 会 让 社会 更 好 的 观点 。 其 次 ， 该 运动 与 目 由 主义 者 (其 
至 是 无 政府 主义 者 ) 的 概念 联系 在 一 起 ， 加 上 强加 密 的 想法 ， 特 别 是 
于 20 世 纪 70 年 代 后 期 出 现 的 公 钥 密 码 学 。 参 与 密码 朋克 运动 的 人 们 相 
信 ， 拥 有 了 强大 的 网 络 隐私 和 强加 密 ， 他 们 可 以 重 塑 人 们 相互 交流 的 
方式 。 和 密码 朋克 认为 ， 在 这 个 世界 上 ， 人 们 应 该 更 加 有 效 地 保护 目 己 
和 自身 权益 ， 少 受 政 府 行为 影响 (或 干预 ) 。 


密码 朋克 中 到 的 一 个 难题 是 ， 在 他 们 所 构想 的 未 来 世界 中 ， 和 人 人们 
通过 强大 的 技术 和 加 密 手 段 进行 网 上 沟通 时 ， 如 何 解 决 金钱 相关 的 问 
题 。 许 多 人 研究 都 是 为 了 探讨 这 个 问题 ， 特 别 是 大 卫 : 乔 姆 (David 
Chaum) 和 其 他 人 所 做 的 关于 数字 货币 (digital cash) 的 早期 研究 工 
作 ， 他 们 试图 创建 一 种 具有 现金 的 功能 、 能 够 匿名 使 用 和 极 易 交易 的 
新 型 数字 货币。 这 些 技术 性 的 想法 是 如 何 发 展 、 数 子 货币 义 为 何 没 能 
流行 开 来 ， 这 背后 是 一 个 有 趣 的 故事 (参见 前 言 部 分 。 该 领域 的 所 
有 前 期 工作 部 与 密码 朋克 的 信仰 密 不 可 分 ， 特 别 是 他 们 对 拥有 去 中 心 
化 的 、 线 上 和 相对 私密 的 强势 货币 的 愿望 ， 都 为 比特 币 的 诞生 播 下 了 
种 子 。 它 也 是 很 多 比特 币 退 随 者 所 遵循 的 理念 基础 。 


中 本 聪 


2008 年 ， 中 本 聪 发 表 题 为 "比特 币 : 一 种 点 对 点 的 电子 现金 系统 ”的 
日 庶 书 ， 宣 告 了 比特 币 的 诞生 。 上 日 度 书 当 时 可 以 在 网 络 上 目 由 下 载 ， 
是 第 一 篇 描述 比特 币 的 运作 模式 和 设计 理念 的 文章 。 现 在 ， 它 依然 可 
以 帮助 人 们 迅速 了 解 比 特 币 的 技术 设计 和 理论 基础 。 中 本 聪 随后 发 布 
了 实现 日 皮 书 中 规范 的 开源 软件 ， 这 正 是 一 切 的 开端 。 时 至 今日 ， 中 
本 聪 的 号 份 依然 征 天 于 比特 币 的 最 大 谜团 。 


重要 的 是 ， 我 们 不 知道 中 本 聪 的 号 份 并 不 是 什么 要 紧 事 ， 因 为 比 
特 币 的 显著 特点 就 是 它 的 去 中 心 化 ， 而 且 不 受 任何 单一 实体 控制 。 中 
本 聪 并 不 是 掌权 人 人， 事实 上 ， 目 从 2010 年 年 中 将 比特 币 的 控制 权 转让 
给 其 他 开发 者 之 后 ， 他 便 不 再 积极 从 事 这 个 项 目 了 。 从 某 种 程度 上 来 
说 ， 中 本 聪 到 发 在 想 什 么 已 经 不 重要 了 。 如 采 中 本 聪 再 度 活 路 起 来 ， 
他 在 比特 币 社 区 的 声望 可 能 会 影响 社区 的 决策 ， 这 是 他 唯一 的 影响 
es 


增长 


目 2009 年 1 月 正式 上 线 以 来 ， 比 特 币 已 经 取得 了 大 幅度 增长 。 我 们 
从 一 段 时 期 的 交易 走势 ( 见 图 7.3) 和 一 段 时 期 的 交易 数量 ( 见 图 7.4) 
中 都 可 以 很 清楚 地 看 到 这 一 点 ， 尽 管 有 过 一 段 时 期 的 消 落 ， 但 2013 年 
下 半年 又 开始 企稳 ， 并 于 2015 年 达到 峰值 。 虽 然 有 时 候 ， 增 长 是 渐进 
的 ， 但 也 有 激增 的 情况 ， 通 稍 是 在 新 闻 事 件 发 生 之 后 。 总 的 来 说 ， 长 
期 看 增 速 是 加 快 的 。 


堆 是 中 本 聪 ? 


儿 乎 可 以 肯定 “中 本 聪 ”是 一 个 笔名 。 中 本 聪 目 称 是 一 名 生活 在 
日 本 的 37 罗 中 年 男性 。 但 是 ， 目 前 没有 证 据 表 明 中 本 聪 说 日 语 或 全 
日 语 ， 但 是 他 的 英文 书写 相当 流利 ， 尽 管 美 式 拼写 和 英 式 拼写 混在 
一 起 。 有 不 少 人 研究 中 本 聪 的 文章 、 人 代码、 发 表 时 间 、 机 器 标识 符 
等 蛛丝马迹 ， 试 图 以 此 回答 中 本 聪 的 母语 是 什么 ， 他 来 目 哪 里 。 有 
些 人 其 至 尝试 通过 文体 计算 (对 作家 风格 进行 文字 算法 分 析 ) 来 找 
出 中 本 聪 的 身份 。 昌 然 有 些 人 自称 是 中 本 聪 ， 甚 至 一 家 新 闻 媒 体 也 
曾 这 样 宜 称 过 ， 目 前 ， 中 本 聪 的 真实 身份 仍 是 未 知 数 。 请 参考 前 言 
部 分 关于 中 本 聪 的 更 多 讨论 。 
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图 7.3 比特 币 的 市 场 价格 (7 天 的 平均 值 ) 


注 ， 注意 计算 尺 。 
资料 来 源 : bitcoincharts.com 
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资料 来 源 : bitcoincharts.com 


7.5 政府 对 比特 币 的 关注 


本 章 接 下 来 的 内 容 我 们 将 谈 谈 政府 ， 政 府 与 比特 币 的 关系 以 及 为 
监管 比特 币 所 做 的 努力 。 随 着 比特 币 成 为 一 个 足够 庞大 的 现象 ， 政 府 
才 开始 注意 到 比特 币 ， 并 开始 担忧 它 可 能 造成 的 影响 以 及 目 己 应 该 如 
何 应 对 。 本 市 和 下 市 内 容 ， 我 们 将 讨论 为 什么 比特 币 会 让 各 国政 府 产 
生 担 忧 。 在 7.7 廊 ， 我 们 将 参照 其 他 被 监管 的 业务 ， 讨 论 比特 币 可 能 会 
被 监管 的 原因 。7.8 市 将 对 一 个 结合 了 前 规 消费 着 权 益 体 护 和 比特 币 特 
性 的 监管 提案 进行 案例 分 析 。 


贷 本 管制 


政府 之 所 以 注意 到 比特 币 这 样 的 数字 货币 的 原因 之 一 在 于 ， 不 可 
退 蹊 的 数字 货币 不 受 资 本 管制 。 资 本 管制 定 指 一 个 国家 颁布 法 律 或 法 
规 ， 以 控制 流入 或 流出 该 国 的 资本 (货币 或 其 他 资产 ) 。 通 过 对 银行 
和 投资 行为 等 设置 限制 性 条 件 ， 国 家 可 以 监管 资金 流动 。 


司 


在 茶 些 情况 下 ， 比 特 币 可 以 轻而易举 地 绕 过 资本 管制 。 人 们 可 以 
在 某国 境内 购买 比特 币 ， 把 这 些 比特 币 以 电子 方式 转移 到 境外 ， 然 后 
将 其 部 现成 资金 或 财产 。 这 样 ， 他 们 可 以 把 资金 或 财产 从 境内 转移 到 
境外 ， 或 从 境外 转移 到 境内 ， 而 不 受 政府 的 管制 。 因 为 财产 可 以 通过 
这 样 的 电子 方式 轻而易举 地 进行 跨 境 转移 ， 而 且 无 法 真正 被 管控 。 政 
府 如 果 想 对 比特 币 进 行 监管 ， 束 必须 把 比特 币 与 当地 法 定货 币 银行 系 
统 隔 离开 来 。 这 样 ， 把 大 量 当地 货币 兑换 成 比特 币 或 反 过 来 的 做 法 束 
行 不 通 了 。 一 些 试图 进行 次 本 省 制 的 国家 确实 是 这 么 做 的 ， 有 些 国家 


采取 强硬 措施 ， 不 允许 企业 用 比特 币 换取 当地 货币 ， 试 图 把 比特 币 与 
法 定货 币 银 行 系统 隔离 开 来 。 


犯 排 


不 可 追 踩 的 数字 货币 让 政府 担忧 的 鸡 一 个 原因 是 ， 它 使 某 些 犯 徘 
更 加 容易 ， 特 别 是 涉及 文 付 赎金 的 犯罪 ,例如 统 架 和 勒 达 。 如 果 可 以 
从 远程 匿名 支付 ， 这 些 犯罪 会 更 加 容易 。 


例如 ， 打 击 绑 织 的 执法 人 员 往 往 依 靠 党 害 者 或 其 家 人 辐 绑 匪 转账 
的 记录 提供 追 得 线索 。 远 程 匿 名 转账 会 加 大 执法 人 员 追 得 转账 流向 的 
难度 。 还 有 一 个 例子 ，CryptoLocker 软 件 可 以 对 受害 人 的 资料 恶意 加 
窗 ， 并 要 求 必须 用 比特 币 文 付 屿 金 才 可 以 解密 。 这 样 ， 犯 罪行 为 和 文 
付 行为 都 可 以 远程 进行 。 同 样 ， 当 人 们 可 以 很 轻松 地 转账 ， 参 与 的 交 
易 并 不 需要 与 某 个 特定 的 个 人 或 组 织 绑 定 时 ， 逃 税 对 他 们 来 说 也 更 加 
方便 了 。 最 后 ， 如 采 远 程 转移 资金 可 以 不 通过 监管 机 构 ， 出 售 非法 商 
品 残 会 更 加 容易 。 


“丝绸 之 路 ” 


丝绸 之 路 公司 (Silk Road) 上 就 是 一 个 很 好 的 例子 ， 它 自称 “ 匿 
名 市 场 ”(anonymous marketplace) ， 被 称 为 “销售 非法 药品 的 易 贝 
网 >。 图 7.5 是 “丝绸 之 路 * 的 网 站 截图 。 毒 品 是 它 的 主要 销售 商品 ， 在 网 
页 右 侧 还 可 以 看 到 为 数 不 多 的 其 他 类 别 的 在 售 商品 。 


卖家 可 以 在 “丝绸 之 路 ”宣传 目 己 的 商品 ， 天 家 则 可 以 购买 它们 。 商 
品 通常 通过 邮寄 或 货运 的 方式 发 到 买 家 手中 ， 文 付 方式 为 比特 币 。 网 


站 以 Tor 隐 匿 服 务 的 方式 运作 ， 我 们 在 第 6 章 已 经 讨论 过 这 个 概念 。 从 截 
图 中 我 们 可 以 看 到 ， 网 站 地 址 为 http://silkroadvb5piz3r.onion。 这 样 ， 执 
法 人 员 也 无 法 奶 碍 到 服务 絮 的 位 置 。 
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图 7.5 丝绸 之 路 公司 网 站 的 截图 (2012 年 4 月 ) 


由 于 交易 是 通过 比特 币 支 付 的 ， 执 法 人 员 也 很 难 追 查 资金 流向 ， 
查 出 哪些 人 参与 其 中 。 商 品 发 货 时 , “丝绸 之 路 ”网 站 暂 为 代 管 比特 币 。 
这 个 极 具 创新 性 的 代 管 机 制 有 助 于 防范 买 家 和 卖家 被 对 方 欺骗 。 买方 
确认 收 货 之 后 ， 网 站 才 会 把 比特 币 转 给 卖方 。 它 还 有 类 似 于 易 贝 的 信 
誉 评价 系统 (reputation system) ， 买 家 和 卖家 在 交易 完成 之 后 获得 信 
誉 评级 。 因 为 这 个 信誉 评价 系统 ,，“ 丝 绸 之 路 ”鼓励 买卖 双方 以 符合 市 场 
规则 的 方式 进行 交易 。 因 此 ， 作 为 一 个 非法 购物 网 站 ,“ 丝 绸 之 路 ”是 很 


有 创新 性 的 ， 它 找到 了 一 条 以 齐 循 市 场 规则 进行 远程 非法 交易 的 道 
路 ， 而 之 前 的 非法 市 场 很 难 做 到 这 一 点 。 


“ 乡 绸 之 路 ”由 一 个 自称 “您 怖 海盗 罗 伯 洗 ” (Dread Pirate Roberts) 
的 人 运作 ， 这 显然 是 一 个 化 名 ， 极 有 可 能 来 源 于 小 说 或 电影 《公主 新 
娘 》 中 主人 公 的 名 字 。 网 站 自 2011 年 2 月 开始 运行 ，2013 年 10 月 ， 它 的 
运营 者 、 后 被 认定 就 是 “恐怖 海盗 罗 伯 敬 ”的 罗斯 : 乌 布 利 希 (Ross 
Ulbricht) 被 逮捕 之 后 ， 网 站 关闭 。 马 布 利 希 曾 试图 通过 使 用 多 个 化 名 
账户 、Tor 及 匿名 重 发 (anonymous remailers) 等 方式 撼 盖 自 己 的 踪 
迹 。 尽 管 如 此 ， 美 国政 府 还 是 将 种 种 蛛丝马迹 联系 在 一 起 ， 证 据 表 明 
他 与 “丝绸 之 路 ”的 活动 、 网 站 服务 器 以 及 作为 网 站 运营 者 所 控制 的 比特 
币 之 间 存 在 密切 联系 。 他 被 判 犯 下 与 运营 网 站 相关 的 多 项 罪行 。 他 的 
罪行 还 包括 买 风 杀人， 和 夷 运 的 是 ， 他 在 这 方面 的 能 力 实在 太 欠 缺 ， 并 
没有 人 被 杀害 。 

在 打击 “丝绸 之 路 ”的 过 程 中 ， 联 邦 调查 局 收缴 了 约 174 000 比 特 


币 ， 当 时 市 值 超过 3 000 万 美元 。 根 据 美 国法 律 ， 政 府 有 权 没 收 任何 犯 
罪 所 得 收益 。 后 来 ， 政 府 拍卖 了 部 分 收缴 的 比特 币 。 


“丝绸 之 路 "的 教训 


从 执法 人 员 和 “丝绸 之 路 ”的 较量 中 ， 我 们 可 以 吸取 一 些 教训 。 第 
一 ， 把 现实 世界 和 虚拟 世界 完全 分 离开 是 很 困难 的 。 马 布 利 布 认为 日 
己 可 以 既 拥 有 现实 生活 ， 又 可 以 用 一 个 秘密 映 份 来 经 营 庞 大 的 业务 和 
技术 设施 。 事 实 上 ， 把 这 两 个 世界 分 开 ， 让 二 者 不 存在 任何 一 丝 联 
系 ， 是 很 难 做 到 的 。 活 路 地 参与 到 一 些 需 要 与 他 人 协调 的 活动 中 ， 同 
时 想 长 期 保持 匿名 ， 这 会 非常 困难。 一旦 两 种 映 份 之 间 出 现 了 一 些 联 
系 ， 比 如 ， 如 果 你 罕 帮 了 ， 可 能 会 用 另外 一 个 身份 来 为 此 打 掩 护 ， 这 
种 联系 永远 不 会 消失 。 这 样 ， 随 春 时 间 推 移 ， 一 个 人 所 使 用 的 不 同 号 


份 融会 渐渐 有 了 关联 性 。 这 正 是 发 生 在 马 布 利 希 身上 的 事情 一 一 他 在 
早期 用 同一 台 计 算 机 访问 目 己 的 个 人 账 尸 和 “ 怒 饰 海盗 罗 伯 次 ”账户 。 这 
些 错误 最 终 为 调查 人 员 提供 了 线索 ， 发 现 他 的 现实 号 份 。 


另 一 个 教训 是 执法 人 员 可 以 对 资金 进行 追 踩 。 在 乌 布 利 硕 被 捕 之 
前 ， 联 邦 调查 局 就 已 经 知道 “丝绸 之 路 ” 运 宫 者 管理 着 的 比特 币 地 址 ， 他 
们 一 直 监 控 着 这 些 地 址 。 因 此 ， 尽 管 马 布 利 希 的 区 块 链 拥有 大 量 财 
证， 他 无 法 从 这 些 财富 中 收益 ， 因 为 只 要 他 试图 转移 资产 ， 束 会 留 下 
可 妃 踩 的 痕迹 ， 很 可 能 会 导致 他 迅速 被 捕 。 因 此 ， 尽 管 马 布 利 布 拥有 
174 000 比 特 币 ， 在 现实 生活 中 ， 他 并 没有 过 上 睹 侈 的 生活 。 他 居住 在 
旧金山 一 个 一 居室 的 公 刘 里， 显然， 他 无 法 将 目 己 积 素 的 财富 兑现 。 


简 而 言 之 ， 如 果 你 有 意 经 营 一 家 秘密 的 犯罪 公司 一 一 当然 ， 我 们 
并 不 推荐 这 条 “事业 ”道路 一 一 做 起 来 可 能 要 比 你 想象 中 难得 多 。 比 特 币 
和 Tor 这 样 的 技术 并 不 是 刀枪 不 入 的 ， 执 法 部 门 仍然 拥有 很 多 重要 的 手 
段 帮 助 侦 破案 件 。 尽 管 执 法 部 门 对 比特 币 的 岂 起 有 过 一 定 恕 慌 ， 但 它 
们 依然 可 以 对 资金 进行 追踪 ， 而 且 也 有 具备 侦破 犯罪 案件 的 强大 能 力 ， 
让 那些 从 事 需 要 与 他 人 协调 的 犯罪 行为 的 人 日 子 不 那么 好 过 。 


同时 , “丝绸 之 路 是 关闭 了 ， 但 执法 部 门 并 没有 完全 关闭 通过 比特 
币 交 易 的 经 营 非 法 药物 的 黑市 。 事 实 上 , “丝绸 之 路 ”关闭 之 后 ， 这 类 黑 
市 如 雨后春笋 般 涌 现 ， 其 中 一 些 较为 突出 的 黑市 包括 绢 羊 集 市 (Sheep 
Marketplace) 、“ 丝 绸 之 路 2.0”(Silk Road 2) 、 黑 市 重 装 上 阵 (Black 
Market Reloaded) 、 进 化 (Evolution) 和 阿 格拉 (Agora) 。 由 于 执法 
人 员 的 行动 或 者 内 部 人 员 的 偷 鳃 ， 其 中 大 多 数 现在 已 经 不 复 存 在 。 唱 
然 如 此 ， 研 究 发 现 ， 执 法 部 门 对 这 种 黑市 的 打击 并 未 使 其 放 缓 增长， 
其 销售 额 反 而 上 涨 。 网 站 经 营 首 可 能 私 否 买 家 被 代 管 的 资金 ， 然 后 消 
失 。 为 了 规避 这 种 安全 风险 ， 新 出 现 的 集 市 多 采取 多 重 签名 代 管 (我 
们 在 第 3 章 已 讨论 过 ) ， 不 再 采用 “丝绸 之 路 ”由 经 营 者 保管 资金 的 方 
式 o 


[1] 丝绸 之 路 公司 是 一 个 利用 Tor 的 隐秘 服务 来 运作 的 
毁 了 丝绸 之 路 公司 ， 并 且 逮 捕 了 该 网 站 创始 人 


黑市 购物 网 站 。2013 年 


FE ， 美国 FBI 执 
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7.6 反 洗 钱 


这 本 节 中 ， 我 们 将 讨论 洗钱 和 有 反 洗 钱 相 关 法 律 、 政 府 ， 尤 其 是 美 
国政 府 所 制定 的 反 洗钱 (Anti-Money Laundering, 简 称 AML ) 法 律 对 比 
特 币 相关 业务 造成 的 影响 。 


有 反 洗 钱 政 策 的 目的 在 于 防止 资金 的 大 量 秘密 外 流 或 流入 ， 防 范 资 
金 在 非法 与 合法 企业 或 机 构 之 则 秘密 流动 。 在 7.5 市 我 们 讨论 过 ， 资 本 
管制 十 为 了 防止 资金 的 跨 境 流 动 。 在 某 些 情况 下 ， 政 府 并 不 介意 资金 
跨 境 流动 ， 但 它们 想 知 道 资 金 的 来 源 和 去 同 。 反 洗钱 政策 的 目的 是 给 
某 些 特定 类 型 的 犯罪 行为 增加 难度 ， 特 别 是 有 组 织 犯 罪 。 有 组 织 犯 罪 
的 罪犯 经 常会 收 到 大 笔 资 金 ， 需 要 转移 这 些 资金 ,但 又 不 想 对 任何 人 
解释 这 笔 资 金 的 来 源 ， 以 及 为 什么 想 把 这 笔 资 金 转移 到 境外 。 或 者 ， 
罪犯 通过 非法 活动 赚 到 了 一 大 笔 钱 ， 想 通过 合法 企业 使 其 合法 化 ， 这 
样 ， 犯 罪 头目 就 可 以 购买 各 种 睹 侈 品 。 反 洗钱 的 目的 束 是 让 视 金 转移 
更 加 困难 ， 而 且 ， 有 人 试图 这 么 做 时 ， 会 更 容易 被 发 现 。 


YD 
Ye 
让 
Yo 


了 解 你 的 客户 


“了 解 你 的 客户 ” (Know Your Customer ， 简 称 KYC) 原则 ， 是 打 
击 洗钱 活动 的 根本 对 策 之 一 。KYC 原 则 的 细节 有 些 复杂 ， 而 且 根 据 立 
场 不 同 而 有 所 变化 ， 但 其 核心 思想 是 ,“ 了 解 你 的 客户 ”原则 要 求 ， 对 
于 一 些 有 资金 处 理 业 务 的 特定 类 型 的 企业 ， 需 要 做 到 以 下 三 件 事 : 


1. 识别 并 验证 客户 一 一 获得 客户 的 身份 证 明 ， 确 定 客户 的 真实 吴 
份 与 他 们 声称 的 号 份 一 致 ， 并 确保 他 们 声称 的 身份 与 现实 世界 的 真实 


身份 对 应 。 一 个 人 推 开门 直接 走 进 屋 ， 说 目 己 是 住 在 美国 菜市 某 街 道 
多 少 号 的 张 三 、 李 四 ， 企 业 不 能 赁 此 口述 确认 他 的 吴 份 ， 他 必须 提供 
可 靠 的 吴 份 证 明文 件 。 


2. 评估 客户 风险 一 “确定 客户 从 事 地 下 行为 的 风险 。 通 过 评估 客 
户 行为 以 确定 风险 一 一 他 们 与 公司 的 合作 关系 是 否 长 久 、 他 们 在 社区 
的 知名 度 以 及 其 他 多 个 因素 等 。 通 常 而 言 ，KYC 原 则 要 求 公司 对 看 起 
来 风险 更 大 的 客户 实施 监控 。 


3. 监控 异 稼 举动 一 一 监控 看 似 洗钱 或 犯罪 的 行为 。 如 果 一 个 客户 
看 上 去 不 其 可 靠 ， 或 者 无 法 对 其 喘 份 进行 充分 验证 ， 或 者 其 行为 没有 
符合 法 律 的 要 求 ， 那 么 KYC 原 则 往往 要 求 公司 终止 与 这 种 客户 的 业务 
住 米 。 


强制 上 报 


美国 的 强制 上 报 (mandatory reporting) 对 比特 币 的 业务 影响 重 
大 。 众 多 行业 内 的 公司 被 要 求 必须 将 超过 10 000 美 元 的 资金 交易 进行 
上 报 。 它 们 需要 提交 一 份 《资金 交 易 报告 》， 说 明 交 易 内 容 和 交易 对 
手 的 喘 份 ， 这 份 报告 还 要 求 对 交易 对 手 进行 身份 验证 。 报 告 提 区 后 ， 
所 有 信息 纳入 政府 数据 库 ， 以 便 将 来 分 析 是 否 存在 洗钱 行为 的 嫌疑 。 


美国 政府 还 要 求 各 公司 关注 那些 可 能 通过 人 为 操控 以 规避 上 报 交 
易 的 客户 ， 比 如 ， 由 于 法 规 只 要 求 对 金额 超过 10 000 美 元 的 交易 进行 
汇报， 一 些 人 可 能 开展 数 笔 金额 为 9 999 美 元 的 交易 。 如 采 发 现 客户 操 
控 交 易 ， 公 司 必 须 编写 《可 疑 行 为 报告 》， 并 汇报 给 政府 。 同样， 这 
些 信 息 也 会 被 录入 政府 数据 库 ， 用 于 可 能 对 客户 开展 的 调查 。 


各 个 国家 的 要 求 各 不 相同 。 在 此 ， 我 们 并 不 是 想 提 供 什 么 法 律 建 
议 。 讨 论 这 个 话题 只 是 为 了 说 明 反 洗钱 法 规 提出 的 一 些 要 求 。 不 管 是 
美国 政府 还 古 其 他 政府 ， 都 非常 重视 反 洗 钱 法 规 ， 一 旦 有 人 违反 ， 可 
能 会 被 判 以 重 刑 。 有 一 些 法 律 ， 违 反之 后 ， 政 府 可 能 会 投诉 你 ， 然 后 
你 再 设法 去 解决 它 ， 反 洗钱 法 并 不 是 这 样 的 。 


政府 已 经 关闭 了 许多 比特 币 企 业 ， 一 些 是 暂时 的 ， 一 些 是 永久 
的 。 还 逮捕 了 一 些 从 业 人 员 ， 也 有 一 些 人 因为 违反 反 洗 钱 法 而 银 销 入 
狱 。 不 管 是 使 用 比特 币 还 是 法 定货 币 ， 国 家 都 会 广 厉 打 击 洗钱 行为 。 
目 从 注意 到 比特 币 市 场 已 经 足够 大 ， 可 能 会 市 来 洗钱 风险 ， 政 府 部 门 
忠 强 化 了 对 比特 币 相 关 企 业 可 能 洗钱 的 监控 。 如 有 果 你 有 兴趣 创建 一 家 
需要 处 理 大 和 额 资金 的 企业 ， 那 束 需 要 跟 理 解 这 些 法 规 的 律师 好 好 谈 


谈 。 


际 


管 


现在 让 我 们 来 直接 谈 谈 监管 问题 。 监 管 通常 育 负 恶名 ， 杀 比特 币 
派 尤其 不 喜欢 这 个 词 。 这 些 人 认为 ， 监管 是 一 种 官僚 主义 ， 它 们 根本 
忠 不 了 解 我 的 业务 ， 不 懂 我 做 的 事情 ， 只 会 横 插 一 脚 ， 把 事情 搞 砸 。 
监管 是 一 种 负担 ， 它 不 仅 电 薄 ， 而 且 晕 无 意义 。 这 种 观点 很 普 笛 ， 而 
且 容 易 得 到 认同 ， 它 也 许 不 无 道理 ， 但 此 处 我 们 不 再 重复 了 。 


相反 ， 在 本 和 中 ， 我 们 将 探讨 为 什么 监管 有 时 是 可 取 的 ， 因 为 很 
多 人 并 不 理解 这 种 观点 。 澄 请 一 点 ， 我 们 虽然 在 本 节 要 化 大 量 篇 幅 来 
解释 为 什么 监管 有 时 有 是 一 件 好 事 ， 这 并 不 代表 我 们 文 持 对 比特 币 进行 
全 面 监管 。 但 十 我 们 想 让 认为 监管 生 而 可 恶 的 社区 听 到 一 点 不 同 的 声 
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侈 成 监管 的 基本 原因 是 : 当 市 场 失 灵 并 珊 来 大 家 一 致 认可 的 恶 采 
时 ， 监 管 可 以 介入 ， 并 解决 这 种 失灵 “。 由 于 市 场 并 不 总 是 给 出 最 优 的 
结 末 ， 所 以 我 们 说 监管 有 时 是 有 花 的 。 


我 们 可 以 用 经 济 学 术语 更 为 准确 地 表达 这 一 观点 。 我 们 担心 市 场 
会 失灵 ,“ 失 灵 ” 的 意思 ， 并 不 是 说 坏事 发 生 ， 或 者 有 人 先 得 他 们 被 融 
许 或 被 不 公平 对 符 。 我 们 指 的 是 ， 对 市 场 参 与 者 进行 不 同 的 商品 分 
配 ， 这 会 让 每 个 人 更 好 ， 或 者 至 少 不 会 更 差 。 这 种 不 同 的 分 配 被 称 为 
怕 累 托 改进 (Pareto improvement) 。 


森 标 市 场 


柠檬 市 场 (lemons market, 也 称 为 次 品 市 场 ) 是 可 能 导致 市 场 失 灵 
的 一 个 经 典 案 例 。 柠 檬 市 场 的 名 称 起 源 于 汽车 销售 行业 ， 但 这 个 概念 
并 不 局 限于 这 个 行业 。 假 设 所 有 汽车 要 么 优质 要 么 劣质 ， 没 有 中 间 地 
市 。 制 造 一 辆 优质 汽车 的 成 本 比 一 辆 劣质 汽车 的 成 本 融 不 了 多 少 ,但 
对 于 购买 汽车 的 人 来 说 好 处 则 多 很 多 。 


如 有 果 市 场 运行 良好 ( 即 经 济 学 家 所 说 的 “有 效 运行 ") ， 汽 车 销售 
商会 回顾 客 提供 更 多 优质 汽车 。 这 是 因为 ， 虽然 优质 汽车 价格 较 融 ， 
但 大 多 数 消 费 者 更 喜欢 优质 汽车 ， 愿 意 化 更 多 的 钱 购 买 。 所 以 ， 在 假 
设 条 件 下 ， 市 场 会 提供 这 样 令 人 愉悦 的 结 采 。 


但 古 假 设 顾客 分 辨 不 出 哪些 汽车 十 优质 的 ， 哪 些 十 劣质 的 。 一 辆 
劣质 汽车 〈 一 个 “柠檬 ”， 俗 称 次 品 ) 从 外 观 上 看 上 去 似乎 很 不 错 ， 但 
顾客 不 知道 它 会 不 会 明天 吏 烛 火 ， 还 是 可 以 开 很 入。 销售 商 很 可 能 知 
道 它 是 一 个 次 品 ， 但 是 顾客 是 分 辨 不 出 来 的 。 


接 下 来 ， 我 们 考虑 这 种 柠 柑 市 场 是 如 何 张 动人 们 的 消费 行为 的 。 
作为 一 名 消费 者 ， 由 于 在 购买 汽车 前 根本 看 不 出 区 别 ， 即 便 销 售 丙 告 
诉 顾 客 这 辆 车 非 第 好， 顾客 只 需要 多 掏 100 美 元 束 可 以 天 下 ， 顾 客 示 必 
会 相信 他 ， 也 整 不 愿意 掏 多 余 的 钱 天 一 辆 优质 汽车 。 


由 此 珊 来 的 结果 是 ， 生 产 商 并 不 会 因为 多 卖 出 一 辆 优质 汽车 而 多 
赚 一 笔 钱 。 事 实 上 ， 每 卖 一 辆 优质 汽车 ， 它 们 反倒 赔钱 ， 因 为 优质 汽 
车 的 生产 成 本 更 高 ， 它 们 并 没有 赚 到 差价 。 最 终 ， 生 产 商 只 生产 劣质 
汽车 ， 而 顾客 对 目 己 所 购买 到 的 商品 非 芝 不满 ， 市 场 殴 卡 在 这 个 平衡 
芳 访 


与 正常 运行 的 市 场 相 比 ， 这 个 结果 对 每 个 人 来 说 都 更 糟糕 。 它 对 
消费 者 来 说 更 糟 ， 因 为 他 们 不 得 不 凑合 使 用 劣质 汽车 。 在 一 个 运行 更 
加 有 效 的 市 场 中 ， 他 们 可 能 只 需要 多 人 花 一 点 线 ， 束 可 以 购买 到 质量 好 
得 多 的 汽车 。 对 于 生产 商 来 说 也 很 糟 ， 因 为 市 场 中 出 售 的 汽车 都 是 次 


品 ， 消 费 者 可 能 隋 不 会 买 那 么 多 汽车 ， 因 此 ， 销 售 汽车 获得 的 利润 要 
比 在 一 个 健康 市 场 上 的 利润 少 得 多 。 


这 个 现象 融 是 市 场 失灵 。 柠 檬 市 场 并 不 专 指 汽车 行业 。 任 何 行 售 
的 存在 信息 不 对 称 (asymmetric information， 即 买方 或 卖方 中 的 一 方 
比 另 一 方 对 商品 品质 的 了 解 要 多 ) 的 商品 或 小 部 件 都 会 遭遇 市 场 失 
灵 。 经 济 学 文献 可 以 提供 汽车 行业 以 外 的 更 多 案例 。 


修复 村 标 市 场 


通过 一 些 市 场 手 段 ， 可 以 修复 柠檬 市 场 。 一 种 手段 是 通过 卖方 的 


品 ， 久 而 久之 ， 这 个 卖方 就 会 被 大 家 认为 是 诚实 的 。 一 旦 有 了 这 种 信 
誉 ， 它 们 就 能 够 以 更 高 的 价格 出 售 优质 汽车 ， 因 为 消费 者 会 相信 它们 
说 的 话 ， 市 场 也 就 可 以 更 有 效 地 运行 。 这 一 手段 有 时 肥 效 ， 有 时 无 
效 ， 取 决 于 对 市 场所 做 的 假设 是 否 准确 。 当 然 ， 它 即便 有 效 ， 也 比 不 
上 请 费 者 能 够 分 辩 商 品质 量 好 坏 的 市 场 。 而 且 ， 生 产 者 需要 一 段 时 间 
才能 建立 目 己 的 信誉 。 这 也 束 要 求 它们 必须 要 在 一 段 时 间 内 以 低 价 销 
售 优质 的 商品 ， 直 到 请 费 者 意识 到 它们 的 诚实 可 靠 。 这 加 大 了 诚信 卖 
家 进入 市 场 的 难度 。 


还 有 为 外 一 个 潜在 问题 ， 即 便 是 一 个 一 直 有 让 信 的 卖家 ， 当 它 决 
定 退 出 市 场 (比如 因为 销售 额 下 降 ) 时 ， 就 不 再 有 动力 继续 对 买方 说 
实话 。 它 可 能 会 趁机 大 肆 欺 骗 严 方 ， 然 后 关门 大 吉 。 因 此 ， 在 卖家 一 
开始 进入 市 场 或 决定 退出 市 场 时 ， 通 过 卖家 信誉 来 修复 柠檬 市 场 的 方 
式 并 不 一 定 奏效 。 


对 于 消费 者 不 会 从 同一 个 买 家 重复 购买 商品 的 行业 ， 或 者 商品 是 
新 兴 事 物 ， 卖 方 还 没有 足够 的 时 间 建 立 起 信誉 的 行业 ， 通 过 信誉 修复 


柠檬 市 场 的 手段 也 很 可 能 不 会 奏效 。 像 比特 币 这 样 的 高 科技 市 场 束 面 
临 这 样 的 问题 。 


另 一 种 修复 村 村 市 场 的 手段 是 担保 。 卖 家 辐 天 家 提供 担保 ， 也 残 
征 ， 如 果 商 品 最 终 被 证 明 是 劣质 的 ， 卖 家 会 换 货 或 退 款 。 这 种 方法 是 
比较 有 效 的 ， 但 也 存在 一 个 问题 : 担保 也 是 双 一 种 可 能 存在 质量 高 低 
的 商品 ! 如 条 是 一 个 劣质 担保 ， 当 购买 的 商品 出 现 问 题 后 ， 卖 家 可 能 
根本 束 不 哆 现 之 前 的 承诺 ， 或 者 在 买 家 要 求 部 现 担 休 承诺 的 过 程 中 故 
意 设 置 各 种 难题 。 


通过 监管 手段 修复 


如 采 确 实 存在 一 个 标 柑 市场， 而 且 上 述 所 有 的 市 场 手段 均 未 委 
效 ， 那 么 监管 可 能 会 帮 上 人 忙 。 具 体 来 说 ， 监 管 可 以 通过 以 下 三 种 方法 
修复 村 栋 市 场 。 


第 一 种 方法 是 ， 监 管 可 以 要 求 信 息 公 开 。 比 如 ， 可 以 要 求 所 有 的 
汽车 都 贴 上 标签， 标明 它 是 优质 汽车 还 是 劣质 汽车 ， 并 对 造假 的 企业 
施 以 处 诈 。 这 可 以 让 消费 者 了 解 他 们 之 前 并 不 了 解 的 信息 。 第 二 种 监 
管 方法 是 出 具 质 量 标准 ， 只 有 通过 质量 标准 检测 的 汽车 才 可 以 出 售 ， 
否则 不 得 出 售 。 有 了 这 样 一 个 标准 ， 只 有 优质 汽车 才能 够 通过 质量 检 
测 。 如 采 监 管 奏效 ， 可 能 会 导致 市 场 上 只 有 单一 质量 的 汽车 , 但 至 少 
都 是 优质 汽车 。 第 三 种 方法 是 ， 监 管 可 以 要 求 所 有 的 销售 方 出 具 担 
保 ， 并 强制 执行 这 些 担 保 ， 这 样 ， 销 售 方 束 必须 对 其 做 出 的 承诺 负 
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所 有 这 些 监 管 手段 都 可 能 失效 ， 它 们 可 能 达 不 到 预想 效果 ， 可 能 
会 写 得 不 好 、 广 用 ， 或 者 对 卖家 造成 人 负担。 但 是 这 种 监管 为 森 榜 市 场 


导致 的 市 场 失灵 问题 提供 了 一 个 可 能 的 解决 方案 。 例 如 ， 一 些 文 持 对 
比特 币 区 易 市 场 进行 监管 的 人 ， 有 时 束 认 为 它 是 个 柠檬 市 场 。 


串 许 和 反对 断 法 


市 场 不 以 最 优 方式 运作 的 另 一 个 例子 吏 生 价格 玫 断 。 价 格 垄 断 是 
指 不 同 卖家 相互 串通 ， 一 致 上 调 或 下 调价 格 的 做 法 。 另 一 个 与 之 相关 
的 情况 是 ， 本 应 该 是 竞争 关系 的 公司 决定 不 再 相互 竞争 。 例 如 ， 某 市 
有 两 家 面包 店 ， 它 们 商量 好 ， 一 家 只 卖 松 饼 而 男 一 家 只 卖 面包 图 ， 这 
样 ， 比 它们 两 家 同时 既 卖 松 饼 又 卖 面包 圈 的 范 争 要 小 得 多 。 苋 争 减 
少 ， 丙 品 价格 目 然 上 涨 ， 丙 家 对 市 场 的 运行 造成 阻碍 。 


总 之 ， 一 个 正常 运转 的 市 场 主要 通过 竞争 来 保护 消费 者 权益 。 卖 
家 必须 以 最 优 囊 的 价格 向 顾客 提供 最 好 的 产品 来 进行 范 争 ， 否 则 ， 它 
们 就 没有 业务 。 价 格 垄 断 或 串 诺 行 为 规避 了 竞争 。 如 果 人 们 采取 措施 
规避 芝 争 ， 这 是 男 一 种 形式 的 市 场 失 灵 。 


在 大 多 数 司 法 管辖 区 ， 商 量 好 涨 价 或 者 不 范 争 的 行为 是 违法 的 。 
这 是 反 垄 断 法 或 竞争 法 的 一 部 分 内 容 。 这 一 法 律 的 目的 是 限制 蓄意 阻 
碍 或 损害 竞争 的 行为 。 一 般 来 说 ， 它 更 侧重 于 限制 诸如 通过 并 购 减 少 
苋 搜 的 行为 ， 而 不 古 为 消费 者 提供 物美 价 廉 的 商品 。 反 垄断 法 很 复 
杂 ， 我 们 只 做 了 一 些 简单 介绍 ， 但 它 为 市 场 失 灵 后 ， 法 律 如 何 介入 并 
纠正 市 场 失灵 提供 了 一 个 案例 。 


7.8 纽约 州 比 特 币 牌照 


截至 目前 ， 我 们 已 经 对 监管 内 容 做 出 了 概述 : 监管 的 不 同形 式 ， 
为 什么 在 某 些 情况 下 监管 是 有 利于 经 济 运行 的 。 搂 下 来 ， 我 们 来 看 看 
纽约 州 比特 币 牌 照 (Bitlicense) ， 这 是 某 个 州 对 比特 币 监管 所 做 出 的 
一 项 具体 努力 。 此 处 描述 的 细 市 对 于 我 们 的 讨论 影响 不 大 ， 因 为 我 们 
的 目标 并 不 是 让 你 了 解 一 个 法 律 条 款 。 相 反 ， 我 们 希望 帮助 你 了 解 监 
管 部 门 都 在 做 哪些 事情 以 及 它们 是 如 何 考 虑 这 些 问题 的 。 


《纽约 州 比特 币 牌 照 提案 》 最 初 于 2014 年 7 月 提交 ， 后 续 根 据 比 特 
币 社 区 、 行 业 、 公 众 以 及 其 他 利益 相关 者 的 反馈 进行 了 修订 ， 最 后 由 
州立 监管 金融 行业 的 纽约 州 金融 服务 管理 局 (New York Department of 
Financial Services， 简 称 NYDFS) 于 2015 年 8 月 颁布 施行 。 当 然 ， 纽 约 
州 是 世界 最 大 的 金融 中 心 ， 州 金融 服务 管理 局 也 习惯 与 大 型 金融 机 构 
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涉及 泄 转 


《纽约 州 比特 币 牌 照 提 案 》 是 一 套 关 于 虚拟 货币 (virtual 
currency) 的 规范 、 法 规 和 规章 制度 。 它 要 求 ， 如 果 你 想 要 从 事 以 下 任 
何事 情 ， 那 么 必须 从 纽约 州 金 融 服务 管理 局 获得 所 谓 的 比特 币 牌照 : 


虚拟 货币 业务 行为 是 指 涉及 纽约 州 或 纽约 州 居 民 的 以 下 类 型 的 
行为 : 

1. 接 收 虚 拟 货币 用 于 传输 或 传输 虚拟 货币 ， 交 易 用 途 为 非 金融 
性 且 不 涉及 超过 虚拟 货币 面额 的 转移 除外 。 


2. 存 储 、 持 有 或 为 他 人 代 管 虚拟 货币 。 

3 为 客户 提供 购买 或 销售 虚拟 货币 的 服务 。 

4 .为 客户 提供 兑换 服务 。 

5 控制、 管理 或 发 行 虚 拟 货币 。 

内 部 员工 或 其 本 身 对 软件 的 开发 与 传播 ， 并 不 属于 虚拟 货币 业 
务 行为 。 


(摘自 纽约 金融 服务 管理 局 的 《纽约 州 比特 币 有 牌照 提案 》 的 原 


以 上 条 于 是 指 “ 涉 及 纽约 州 或 纽约 州 居 民 的 行为 ”， 反 映 了 纽约 州 
金融 服务 管理 局 的 监管 权力 。 然 而 ， 这 种 法 规 不 仅 对 纽约 州 ， 对 其 他 
州 也 造成 影响 ， 原 因 有 二 : 第 一 ， 在 面临 要 么 遵守 州 的 法 律 ， 要 么 放 
弃 在 该 州 的 业务 时 ， 像 对 纽约 或 者 加 利 福 尼 亚 这 样 人 口 众多 的 州 ， 大 
多 数 公司 都 会 选择 遵守 州 法 。 第 二 ， 在 对 一 些 经 济 领域 的 监管 上 ， 一 
些 州 通常 被 视 为 领导 者 一 纽约 州 在 金融 领域 、 加利福尼亚 在 科技 领 
域 。 这 也 就 意味 着 ， 美 国 其 他 州 会 沿 着 领导 者 设 定 的 方向 走 下 去 。 


请 注意 第 一 条 提 到 , “交易 用 途 为 非 金融 性 的 除外 ”， 这 是 在 第 二 
版 修订 中 增加 的 ， 这 一 点 加 得 很 好 ， 它 剔除 了 那些 仅 把 比特 币 当 作 平 
台 的 应 用 程序 ， 我 们 将 在 第 9 草 探 讨 。 第 二 条 涵 孟 了 钱包 服务 。 至 于 第 
三 条 ， 你 可 以 为 目 己 购买 和 出 售 比特 币 ， 但 是 把 它 作 为 业务 向 顾客 提 
供 服 务 则 需要 获取 比特 币 牌 照 。 第 四 条 足够 清晰 明日 。 最 后 一 条 可 能 
更 适用 于 另类 币 ， 与 比特 币 相 比 ， 许 多 另类 币 的 中 心 化 更 强 。 我 们 将 
在 第 10 章 中 讨论 另类 币 。 


在 条 款 的 最 后 ， 把 软件 开发 作为 例外 特别 声明 ， 也 是 非常 重要 
的 。 在 最 初版 本 中 并 不 包括 这 句 申明 ， 引 发 了 比特 币 社区 的 强烈 抗 
议 。 纽 约 州 金融 服务 管理 局 局 长 本 杰 明 . 劳 斯 基 (Benjamin Lawsky) 随 


后 做 出 解释 ， 申 明 本 条 款 的 目的 并 不 是 为 了 监管 开发 人 员 “、 矿 工 或 使 
用 比特 币 的 个 人 。 最 终 版 本 包含 了 上 述 两 个 明确 的 例外 情况 。 


要 来 


相关 实体 都 必须 申请 一 个 牌照 。 你 可 以 在 提案 中 找到 天 于 如 何 申 
请 牌照 的 详细 规定 《参见 本 章 最 后 的 “延伸 阅读 ") ， 但 是 简 而 言 之 ， 
你 需要 提供 一 些 充分 的 材料 ， 证 明 你 对 企业 的 所 有 权 、 经济 状况 、 保 
险 和 商业 计划 ， 以 便 让 纽约 州 金融 服务 管理 局 了 解 你 是 谁 、 你 是 否 
足够 诚信 、 你 的 经 济 来 源 以 及 你 打算 用 此 做 什么 。 此 外 ， 你 还 需要 文 
付 一 笔 申 请 费 。 


获得 牌照 后 ， 你 还 需要 向 纽约 州 金融 服务 管理 局 提供 所 有 权 、 经 
济 状况 、 保 险 等 信息 。 你 还 必须 定期 提供 财务 报表 ， 以 便 让 它们 了 解 
你 的 经 营 状 况 。 你 还 需要 维护 一 笔 财 务 储备 金 ， 纽 约 州 金融 服务 管理 
局 会 根据 你 的 业务 具体 情况 ， 确 定 具体 金额 。 


提 汉 包含 如 何 监管 客户 资产 等 内 容 ， 也 有 非常 详细 的 条 球 。 拓 案 
也 包括 反 洗 钱 条 款 ， 其 内 容 可 能 与 现 有 法 律 一 致 ， 也 可 能 比 现 有 法 律 
规定 的 内 容 更 多 。 提 案 包括 关于 安全 计划 和 渗透 测试 等 方面 的 条 款 ; 
还 有 一 些 关 于 灾难 恢复 预案 的 条 款 ， 规 定 了 必须 制订 灾难 恢复 计划 以 
应 对 一 切 可 能 发 生 的 糟 糙 情 况 ; 包括 了 历史 记录 保存 的 相关 条 款 ， 申 
请 者 必须 要 保存 记录 ， 并 人 允许 纽约 州 金融 服务 管理 局 在 某 些 情况 下 对 
其 进行 访问 ， 申 请 者 还 必须 制定 合 规 的 章程 ， 在 组 织 内 部 任命 专门 的 
合 规 员 ， 并 赋予 必要 的 权力 ， 确 保 业 务 的 合 规 性 。 此 外 ， 申 请 者 还 必 
须 问 客户 披露 风险 ， 让 他 们 了 解 与 申请 者 进行 业务 往来 可 能 存在 的 风 


险 。 


正如 你 所 看 到 的 ， 提 案 要 求 的 名 目 繁多 ， 与 成 立 共 同 基金 或 股票 
上 市 所 要 满足 的 要 求 极为 类 似 。 因 此 ， 比 特 币 牌照 是 比特 币 历史 上 关 
键 的 一 步 。 可 能 还 有 其 他 部 门 也 会 开始 介入 比特 币 的 监管 ， 然 后 比特 
币 业 务 就 会 越 来 越 接 近 传 统 的 受 监管 的 金融 业务 。 


这 可 能 会 跟 密 码 朋克 和 密码 上 自由 主义 者 们 对 比特 币 的 期 望 背 道 而 
驰 。 但 这 可 能 具有 一 定 的 必然 性 ， 因 为 随 着 比特 币 价 值 的 增加 ， 比 特 
币 业 务 将 会 越 来 越 大 ， 政 府 会 对 它们 产生 兴趣 ， 监 管 也 就 随 之 而 来 。 
比特 币 业 务 会 对 现实 世界 的 人 们 及 实体 经 济 产生 影响 。 如 采 比 特 币 发 
展 到 了 这 种 程度 ， 也 就 意味 着 它 已 经 发 展 到 了 需要 被 监管 的 程度 。 它 
表明 比特 币 最 初 簇拥 者 的 理念 开始 淡出 ， 但 男 一 方面 ， 它 也 表明 比特 
币 生 态 系 统 在 不 断 壮大 ， 并 且 正 在 与 受到 更 严格 监管 的 实体 经 济 不 断 
融合 。 不 管 你 对 此 持 何 种 态度 ， 对 比特 币 的 监管 正在 发 生 ， 如 采 你 有 
兴趣 创立 一 家 比特 币 公 司 ， 你 需要 关注 这 一 趋势 。 


这 种 监管 比特 币 的 努力 会 成 功 吗 ? 可 以 有 不 同 的 方式 来 看 待 它 ， 
但 是 有 一 种 方式 ， 可 以 从 提升 比特 币 业务 质量 的 角度 ， 来 评估 像 比特 
币 牌 照 这 种 监管 措施 的 有 效 性 : 如 采 企 业 在 回 非 纽约 州 的 客户 推广 业 
务 时 申明 ， 它 们 拥有 比特 币 有 牌照 ， 因 此 它们 是 可 以 信赖 的 。 假 如 企业 
的 申明 会 让 客户 信服 并 由 此 开展 业务 往来 ,那么 监管 措施 正如 它 的 文 
持 者 设想 的 那样 ， 发 挥 了 作用 。 这 个 场景 是 否 会 改 生 ， 以 及 监管 措施 
究竟 会 产生 什么 样 的 影响 ， 让 我 们 拭目以待 。 
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第 8 章 


其 他 控 矿 算法 


由 于 挖 矿 算法 的 复杂 性 使 得 任何 个 人 或 团体 部 难以 操控 共识 成 形 
的 过 程 ， 挖 矿 算法 个 认为 是 比特 币 系统 的 核心 。 因 为 比特 币 矿工 通过 
解 恋 来 获得 奖励 ， 所 以 我 们 可 以 期 望 他 们 会 人 论 大 量 的 时 间 与 精力 去 寻 
找 捷径 而 更 加 快速 有 效 地 解 谜 ， 以 增加 他 们 的 收益 。 另 一 方面 ， 如 果 
有 些 工作 对 网 络 有 利 但 并 不 能 让 矿工 更 快速 地 解 谜 ， 他 们 可 能 会 忽视 
那些 工作 来 最 小 化 他 们 的 成 本 。 所 以 解 谜 的 设计 对 引导 和 指引 矿工 起 
痢 至 天 重要 的 指导 作用 。 


在 本 章 中 ， 我 们 会 讨论 一 些 其 他 的 控 矿 解 访 (mining puzzle) 设 
计 ， 假 设 我 们 可 以 改善 比特 币 的 解 访 其 至 重新 设计 一 套 新 的 解 谜 过 
程 。 一 个 经 典 的 设计 挑战 是 让 解 访 过 程 能 够 限制 ASIC 控 矿 ， 这 样 一 来 
可 以 平衡 计算 机 设备 性 能 上 的 差距 (拥有 一 般 电脑 的 矿工 与 拥有 优化 
过 的 ASIC 矿 工 之 间 的 设备 差距 ) 。 还 有 什么 其 他 设计 是 需要 我 们 考量 
的 ? 有 哪些 行为 需要 我 们 鼓励 ， 而 哪些 需要 阻止 ? 我们 会 讨论 一 些 有 


着 不 同 特征 的 案例 ， 从 减少 能 源 消 耗 (这 对 社会 发 展 有 着 积极 总 
义 ) ， 到 约束 挖 矿 工具 的 形成 。 有 一 些 已 经 被 另类 币 所 采用 ， 另 外 一 
些 还 处 于 理论 研究 阶段 ， 可 能 将 来 会 被 用 到 。 


8.1 算法 的 基本 要 求 


我 们 首 移 来 看 一 下 一 些 控 矿 算 法 的 主要 安全 要 求 。 如 果 算 法 本 刁 
不 能 满足 比特 币 安全 性 上 的 基本 要 求 的 话 ， 我 们 也 没有 必要 引入 一 坚 
新 柯 的 特点 。 


已 经 有 许多 可 能 的 要 求 ， 有 些 我 们 在 前 面 的 第 2 章 和 第 5 章 中 已 经 
讨论 过 。 挖 矿 解 访 的 结果 需要 被 及 时 验证 ， 因 为 每 个 在 网 络 上 的 节点 
都 在 星 证 每 个 解 谜 的 结果 ， 即 使 是 那些 没有 直接 参与 控 矿 的 节点 ， 包 
括 SPV 《简单 文 付 验证 ) 的 客户 端 。 我 们 还 需要 解 谜 的 难度 具有 可 调 
整 的 特征 ， 解 谜 难度 可 以 随 着 新 加 入 用 户 而 增 大 的 哈 硕 算 力 得 到 调 
整 。 这 样 一 来 ， 解 谜 过 程 号 可 以 具备 足够 的 难度 使 得 对 区 块 链 的 攻击 
变 得 代价 高 兄 ， 同 时 又 能 保证 解 谜 本 身 可 以 在 一 个 稳定 的 频率 上 实现 

(比特 币 系 统 中 大 约 每 10 分 钟 完成 一 个 解 文 过程》。 


到 底 什 么 是 比特 币 的 挖 矿 解 迹 ? 


到 现在 为 止 我 们 一 直 在 用 “比特 币 解 广 ” 这 个 名 称 ， 更 加 精确 的 
说 法 是 ， 我 们 称 它 为 一 个 “不 完全 哈 硕 函数 原 像 解 谜 ”(partial hash- 
preimage puzzle)， 因 为 这 个 运算 的 目的 ， 是 找到 一 个 不 完全 的 特定 
哈 希 函数 输出 值 的 原 像 一 一 也 束 是 一 个 低 于 某 一 特定 目标 区 值 的 结 
果 。 除 此 之 外 ， 一 些 罕见 的 特征 也 可 以 用 来 作为 比特 币 的 挖 矿 解 文 
运算 ， 比 如 找到 一 个 区 块 ， 它 的 哈 希 函数 值 至 少 有 k 个 点 位 是 零 ， 
但 是 通常 直接 比较 既定 目标 是 最 简单 的 方法 。 


比特 币 用 的 基于 SHA-256 控 矿 解 文蛤 希 函 数 ， 很 显然 已 经 满足 了 
这 两 个 要 求 。 它 可 以 通过 任意 调节 一 个 参数 (目标 ) 来 灵活 增加 难 


度 。 检 查 这 个 谜底 很 容易 ， 只 需要 一 个 SHA-256 计 算 和 一 个 与 目标 的 
比较 即 可 ， 不 管 找到 这 个 谜底 的 过 程 有 多 和 勾 困 难 。 


男 外 一 个 核心 的 要 求 更 加 微妙 ， 在 任意 单位 时 间 找 到 一 个 谜底 的 
成 功率 ， 大 致 上 要 与 所 页 献 的 哈 希 算 力 成 比例 。 这 台 意 味 着 ， 大 矿工 
虽然 拥有 非常 强大 的 控 矿 机 ， 他 也 只 是 有 着 一 定 比例 的 优势 来 成 为 下 
一 个 找到 谜 辰 的 矿工 。 即 使 是 小 矿工 ， 也 会 有 一 定 的 机 会 能 够 成 功 并 
且 获 取 奖 励 。 


为 了 说 明 这 一 点 ， 我 们 先 来 设想 一 个 没有 满足 这 个 要 求 的 不 合格 
解 谜 过 程 。 想 象 一 下 某 一 个 控 矿 解 谜 要 经 过 精确 的 n 个 步骤 找到 一 个 谜 
底 。 例 如 ， 不 同 于 我 们 当前 要 求 的 “找到 一 个 SHA-256 结 果 低 于 某 一 个 
固定 目标 的 区 块 ” 的 做 法 ， 如 果 要 求 计 算 n 个 连续 的 SHA-256 函 数值 ， 
这 种 做 法 检查 结果 会 变 得 没有 效率 ， 但 是 这 个 问题 目前 无 关 紧 要 ， 更 
大 的 问题 在 于 ， 因 为 这 个 解 文 过 程 需要 精确 的 n 个 步 又 来 完成 ， 所 以 网 
络 上 人 解 访 更 快 的 矿工 将 会 永远 是 获得 下 一 个 奖励 的 赢家 。 很 快 这 个 情 
况 就 变 得 路 人 和 缘 知 ， 最 快 的 矿工 会 完成 所 有 解 谜 ， 而 其 他 矿工 完全 没 
有 动力 继续 参与 下 去 。 


再 次 声明 ， 一 个 好 的 解 谜 方案 ， 是 给 每 个 矿工 一 个 按 比 例 性 的 成 
功 概率 来 启 得 下 一 个 谜 克 ， 这 个 概率 是 与 他 们 所 贡献 的 哈 希 算 力 成 比 
例 。 就 好 比 往 一 个 不 同 大 小 色 块 组 成 的 目标 板 上 随机 地 硼 飞 镖 ， 每 个 
不 同 大 小 色 块 就 类 似 于 不 同 矿工 所 具有 的 挖 矿 运 算 能 力 。 如 果 你 考虑 
到 这 一 点 ， 这 了 驶 意味 着 你 猜 中 谜底 的 概率 并 不 取决 于 你 已 经 做 了 多 少 
工作 去 解 访 (因为 大 矿工 们 总 是 会 做 更 多 的 工作 量 ) 。 所 以 一 个 好 的 
解 文 是 “无 关 过 程 的 ”(progress free) [1 。 

从 数学 角度 来 看 ， 一 个 好 的 挖 矿 解 广 一 定 是 一 个 “无 记忆 进程 
的 ” (memoryless process) 而 任何 其 他 的 方法 都 将 由 于 过 去 的 挖掘 
工作 ,不 可 避免 地 在 一 定 程度 上 奖励 控 矿 工人。 因此 ， 任 何 可 行 的 解 


谜 从 根本 上 都 是 一 个 不 断 试 错 的 过 程 (trial-and-error) 。 这 种 解 谜 所 
需要 的 时 间 ， 必 然 服从 一 个 指数 分 布 [2 ， 我 们 曾 在 第 2 章 讨论 过 。 


可 以 调整 的 难度 、 快 速 验证 和 无 天 过 程 属性 ， 是 比特 币 控 矿 解 恋 
的 三 大 核心 特征 。 基 于 SHA-256 算 法 的 “不 完全 喻 布 贸 数 原 像 解 访 ”" 显 
然 满 足 了 这 三 大 要 求 。 有 些 人 可 能 会 说 其 他 一 些 特征 也 很 重要 ， 我 们 
在 后 面 讨论 其 他 潜在 功能 的 时 候 会 提 及 。 


[1] 意思 是 来 得 早 ， 不 如 来 得 巧 ， 但 这 个 巧 后 面 的 学 问 就 大 了 。 一 一 译 者 注 


[2] 旅客 进入 机 场 的 时 间 间 隔 也 是 一 个 指数 分 布 ， 后 面 进来 一 个 人 的 时 间 间 隅 与 前 面 进来 
人 的 时 间 间 隔 无 关 。 一 一 译 考 注 


8.2 反 ASIC 解 谜 算法 


首先 我 们 从 讨论 设计 一 个 可 以 反 ASIC 解 谜 (ASIC-resistant puzzles) 
的 挑战 开始 ， 这 个 挑战 也 是 最 被 广泛 讨论 和 追求 的 可 蔡 代 目前 比特 币 
挖 矿 解 广 的 一 种 。 我 们 在 第 5 莫 中 讨论 过 ， 比 特 币 挖 矿 最 初 是 用 普通 电 
脑 ， 然 后 再 升级 到 GPU 和 定制 化 的 FPGA 设 备 ， 到 现在 基本 上 由 非常 强 
大 的 优化 过 的 ASIC 攻 请 所 华灯。 现在 的 ASIC 的 控 矿 运算 能 力 比 一 般 电 
脑 其 至 早期 的 ASIC 都 要 高 太 多 。 一 般 的 电脑 即使 硬件 本 号 是 免费 的 ， 
会 因为 电费 价格 等 因素 而 变 得 不 可 行 。 


这 个 转变 意味 着 ， 在 比特 币 生 态 系统 里 的 大 部 分 个 体 (例如 使 用 
比特 币 交 易 的 客户 和 商家 ) 已 经 无 法 参与 到 控 矿 过 程 中 了 。 有 些 人 认 
为 这 是 一 个 危险 的 势 尖 ， 一 小 部 分 职业 矿工 控制 了 整个 控 矿 的 过 程 。 
在 中 本 聪 最 初 有 关 比 特 币 的 论文 里 ， 用 到 过 “一 个 CPU 一 票 ” 的 说 法 ， 这 
个 说 法 时 不 时 被 有 些 人 用 来 说 明 比 特 币 应 该 是 一 个 被 全 部 用 户 所 拥有 
的 民主 系统 。 


其 他 人 觉得 ASIC 的 崛起 是 不 可 避免 的 ， 而 且 这 也 不 会 伤害 到 比特 
币 ， 这 种 布 望 实现 反 ASIC 的 愿望 也 只 是 有 些 人 布 望 回 到 “过 去 的 好 时 
光 ”。 对 于 反 ASIC 是 否 可 取 ， 我 们 保持 中 立 的 态度 ， 因 为 只 有 这 样 ， 我 
们 才 可 以 深入 讨论 一 些 技术 上 的 挑战 和 提议 的 方案 ， 来 实现 反 ASIC 的 
目标 。 


反 ASIC 到 撒 是 什么 意思 


大 致 上 说 ， 我 们 想 抑 制 为 了 挖 矿 而 特别 定制 的 设备 的 优势 。 这 也 
可 以 理解 为 ， 设 计 一 个 解 谜 程序 ， 让 现 有 的 普通 电脑 成 为 最 廉价 和 最 


有 效率 的 解 亦 运 算 设 备 。 但 这 在 现实 中 不 可 能 ， 上 毕竟 所 有 的 通用 电脑 
的 中 央 处 理 需 里 已 经 针对 一 些 特殊 目的 进行 了 优化 。 并 不 是 所 有 的 电 
脑 都 有 相同 的 优化 配置 ， 并 且 它 们 随 厦 时 代 而 改变 。 比 如 ， 过 去 的 10 
年 中 ， 英 特 尔 (Intel) 和 AMD 在 芯片 里 加 入 特殊 指令 (通常 叫 作 “ 增 加 
硬件 支持 ”) 来 更 加 有 效 地 计算 高 级 加 密 标准 (Advanced Encryption 
Standard， 简 称 AES) 的 区 块 密码 。 所 以 有 些 电脑 在 挖 矿 这 个 事情 上 总 
是 会 比 其 他 电脑 更 加 低 效 。 男 外 ， 很 难 想 象 设计 一 个 挖 矿 解 密 程序 ， 
而 这 些 程序 是 依赖 普通 个 人 电脑 诸如 音响 或 显示 器 这 些 特性 的 ， 所 以 
去 除了 那些 通用 特性 的 具有 特殊 目的 的 设备 ， 很 可 能 会 更 有 效率 ， 并 
且 成 本 更 低 。 


更 加 实际 地 说 ， 我 们 有 一 个 适中 的 目标 : 设计 一 个 解 迹 程序 ， 尽 
可 能 地 减少 最 有 效率 的 定制 运算 设备 与 通用 电脑 之 间 的 效率 差距 。 
ASIC 还 是 会 不 可 避免 地 成 为 更 加 有 效 的 挖 矿 机 ， 但 我 们 至 少 可 以 将 其 
运算 效能 限制 在 一 定 范围 内 ， 从 而 让 个 人 用 户 使 用 他 们 已 有 的 通用 电 
脑 来 控 矿 仍 具备 一 定 的 经 济 效 应 。 


刚性 内 存 解 迹 


大 多 数 被 设计 成 反 ASIC 的 解 访 程 序 中 ， 最 普遍 被 应 用 的 叫 作 刚性 
内 存 解 六 (memory-hard puzzles) 解 谜 需要 大 量 的 内 存 来 计算 ， 而 
不 是 靠 大 量 的 CPU 时 间 。 一 个 类 似 但 又 不 一 样 的 概念 是 内 存 限 制 解 恋 
(memory-bound puzzles) ， 花 在 读 取 内 存 上 的 时 间 ， 占 据 了 这 种 程序 
大 部 分 的 计算 时 间 。 一 个 解 谜 可 以 是 刚性 内 存 类 而 不 是 内 存 限制 类 ， 
或 是 内 存 限 制 类 而 不 是 刚性 内 存 类 ， 或 是 二 者 兼 而 有 之 。 一 个 微妙 但 
重要 的 区 别 在 于 ， 虽 然 CPU 的 速度 是 计算 时 间 的 瓶颈 ， 但 平行 运算 大 
量 解 谜 的 成 本 ， 还 是 被 内 存 的 成 本 所 左右 ， 或 者 反之 亦 然 。 通 常 对 于 
运算 类 的 解 广 程 序 ， 我 们 要 做 到 刚性 内 存 和 内 存 限制 ， 就 需要 保证 在 
运算 过 程 中 大 量 的 内 存 被 要 求 使 用 ， 使 之 成 为 一 个 限制 性 因素 。 


为 什么 刚性 内 存 解 谜 或 内 存 限制 解 文 可 以 反 ASIC? 因为 用 来 计算 
哈 希 函数 的 逻辑 运算 只 占 了 CPU 里 的 一 小 部 分 ， 意 思 是 在 比特 币 的 解 
谜 计算 里 ，ASIC 不 需要 执行 一 些 不 必要 的 功能 ， 而 只 需要 执行 计算 哈 
希 函 数 的 相关 功能 ， 所 以 占 了 很 大 优势 。 另 外 一 个 相关 因素 是 ， 不 同 
的 内 存 性 能 上 的 差异 (和 单位 性 能 的 成 本 ) 比 不 同 处 理 器 之 间 运 算 速 
度 上 的 差异 要 小 很 多 ， 所 以 ， 如 果 我 们 设计 了 一 个 刚性 内 存 类 的 解 
访 ， 计 算 时 需要 相对 简单 的 算 力 但 需要 大 量 的 内 存 ， 这 就 意味 着 ， 解 
密 成 本 的 上 升 速率 将 会 像 内 存 成 本 提升 速率 那样 ， 在 一 个 相对 低 一 些 
的 水 平 。 症 | 

SHA-256 已 经 被 认定 为 不 是 刚性 内 存 解 谜 算法 。 它 只 需要 一 个 小 小 


的 256 位 模块 ， 可 以 很 容易 地 被 放 进 CPU 的 注册 机 里 。 但 设计 一 个 刚性 
内 存 类 的 工作 量 证 明 解 谜 不 是 一 件 太 难 的 事 。 


Scrypt 


现在 最 受 欢迎 的 刚性 内 存 解 文 叫 作 Scrypt [2 ， 被 第 二 大 加 密 数 字 
贷 币 莱特 币 以 及 其 他 加 密 数 字 货 币 所 用 。 


Scrypt 是 一 个 刚性 内 存 的 哈 希 函数 ， 最 时 是 为 了 加 蜜 密码 而 不 容易 
被 暴力 破解 “比如 ， 反 复试 错 破 解 ) ， 所 以 挖 矿 解 谜 与 比特 币 用 的 “不 
完全 哈 布 力 数 原 像 解 谈 " 是 一 样 的 ， 只 不 过 用 Scrypt 取 代 了 SHA-256。 


Scrypt 在 比特 币 被 发 明 出 来 之 前 就 已 经 存在 ， 而 且 它 是 用 来 加 密 个 
人 密码 ， 这 一 点 让 我 们 对 它 的 安全 性 有 一 定 的 信心 。 密码 的 哈 希 函数 
化 其 实 与 反 ASIC 有 着 相似 的 目的 。 出 于 安全 性 考虑 ， 我 们 期 望 ， 一 个 
有 看 定制 化 设备 的 攻击 者 不 能 够 比 使 用 一 般 电 脑 或 者 服务 右 的 用 户 更 
快 地 计算 密码 的 函数 值 。 


Scrypt 基 本 上 有 两 个 步骤 : 第 一 个 步骤 是 在 用 随机 数据 填充 随机 存 
取 存 储 器 (Random Acess Memory， 人 简称 RAM) 里 面 的 缓存 空间 ;第 
二 步 是 从 这 块 内 存 区 域 里 虚拟 随机 地 读 取 (或 者 更 新 ) 数据 ， 同 时 要 
求 整个 缓存 都 存储 在 RAM 里 面 。 


def scrypt(N, seed): 


V = [8] * N /初始 化 N 长 度 的 缓存 区 域 
// 往 这 个 区 域 里 充满 虚拟 随机 数 
V[6] = seed 


for i = 1 to N: 

V[i] = SHA-256(V[i-1]) 
/ 然后 从 这 个 区 域 里 虚拟 随意 地 读 取 
X = SHA-256(V[N-1]) 
for i = 1 to N: 


Jj = X % N /根据 X， 选 择 上 - 的 
X = SHA-256(X ^ V[j]) / 时 X 的 过 | 来 更 新 这 个 X 
return X 
图 8.1 Scrypt 虚 拟 代码 


图 8.1 展 示 了 一 段 Scrypt 的 伪 代 码 (pseudocode) 来 体现 核心 的 计算 原 
则 ， 但 我 们 也 省 略 了 一 些 细 方 一 一 在 实际 中 ， ee 
据 块 ， 然 后 用 来 充满 缓存 区 的 算法 略微 复杂 一 点 


为 了 理解 为 什么 Scrypt 是 刚性 内 存 类 的 ， 我 们 先 想 象 一 下 如 果 我 们 
要 计算 同样 的 值 ， 但 不 用 缓存 区 V( 参见 图 8.1)。 这 当然 也 是 可 行 的 一 一 
但 在 第 9 行 代码 里 ， 我 们 需要 重新 动态 地 计算 值 V[j]， 这 需要 进行 j 次 的 
SHA-256 的 迭代 运算 。 因 为 j 的 值 在 每 次 迁 代 循环 蛙 会 从 0 和 N- 1 中 虚拟 
随机 地 选择 ， 因 此 这 平均 需要 N/2 次 SHA-256 计 算 。 这 意味 着 计算 整个 
函数 需要 NxN/2=N2? /2 个 SHA-256 计 算 ， 但 是 如 果 使 用 一 个 缓存 的 话 ， 
只 需要 进行 2N 次 运算 。 因 此 ， 缓 存 的 使 用 将 Scrypt 的 时 间 复 杂 度 从 


O(N? ) 转 换 成 O(n)。 这 样 一 来 ， 只 要 简单 地 选 一 个 足够 大 的 N 值 使 得 
O(N ) 的 计算 变 得 足够 慢 ， 以 此 确保 使 用 内 存 是 更 快 的 选择 。 


在 时 间 与 内 存 之 辐 的 权衡 


如 果 没 有 一 个 较 大 的 内 存 缓存 ， 计 算 scrypt 会 变 得 很 慢 ， 但 是 用 较 
少 的 内 存 来 增加 相对 较 少 的 计算 还 是 可 能 的 。 假 设 我 们 使 用 一 个 大 小 
约 N/2 的 缓存 〈 而 不 是 N 的 大 小 ) ， 现 在 ， 我 们 只 在 j 是 偶数 的 情况 储存 
VDj] 的 值 ， 丢 掉 那 些 j 是 奇数 的 值 。 而 在 第 二 次 循环 里 ， 一 半 的 情况 下 j 
为 奇数 的 值 将 会 被 选 到 ， 但 这 种 情况 还 是 很 容易 被 计算 的 。 我 们 只 需 
要 简单 地 计算 SHA-256(V[j-1])， 因 为 V[j-1] 在 我 们 的 缓存 里 。[3| 在 一 
半 的 时 间 内 会 产生 这 种 情况 ， 所 以 它 增 加 了 N/2 个 额外 的 SHA-256 计 
算 o 


因此 ， 对 内 存 要 求 量 的 减 半 只 会 增加 14 的 SHA-256 计 算 量 (从 2N 
到 5N/2) 。 总 体 来 说 ， 我 们 可 以 储存 缓存 区 域 V 里 的 每 个 k 排 数据 ， 即 
使 用 Nk 的 内 存 和 计算 (k+3) N/2 次 的 SHA-256 迭 代 计 算 。 在 这 个 限制 
下 ， 如 果 我 们 设 定 k=N， 我 们 就 回 到 先前 运算 时 间 为 O(N? ) 的 计算 。 这 
些 数字 不 一 定 非常 精确 地 适用 于 Scrypt 算 法 本 身 ， 但 是 渐 近 预测 的 方式 
确实 是 适用 的 。 


除 此 之 外 ， 还 有 其 他 的 设计 可 以 弱化 用 时 间 来 换取 内 存 的 能 
举例 来 说 ， 如 果 一 个 缓存 持续 地 在 第 二 次 循环 中 被 更 新 ， 它 可 以 让 时 
间 与 内 存 之 间 的 互 换 不 是 那么 有 效 ， 因 为 这 些 更 新 必须 被 储存 在 内 存 
- 


校 验 成 本 


Scrypt 的 另 一 个 局 限 性 是 ， 它 需要 用 与 计算 所 用 的 同样 大 小 的 内 存 
来 做 校 验 。 为 了 让 内 存 刚性 有 意义 ，N 需 要 变 得 比较 大 。 这 意味 着 一 个 
Scrypt 的 计算 要 比 一 个 SHA-256 的 迭代 计算 (在 比特 币 里 只 需要 一 个 
SHA-256 计 算 就 可 以 校 验 ) 昂贵 许多 倍 。 


这 会 产生 负面 的 结果 ， 因 为 在 网 络 里 的 每 个 用 户 必 须 重复 这 个 计 
算 来 检查 每 一 个 新 发 现 的 区 块 是 否 有 效 。 这 会 减缓 新 区 块 传播 和 被 认 
可 的 速度 ， 从 而 增加 了 分 又 攻击 区 的 风险 。 它 还 要 求 每 个 客户 端 〈 即 
使 征 轻 量 级 的 SPV 客 户 端 ) 拥有 尼 够 的 内 存 来 有 效 地 进行 钞 数 计算 。 这 
样 一 来 ， 实 际 上 在 加 密 数 字 货 币 中 能 够 修 Scrypt 用 到 的 内 存 N 是 有 限 
的 。 


一 直到 最 近 我 们 都 不 明确 ， 是 否 有 可 能 设计 一 个 控 矿 解 迹 程 序 在 
计算 上 是 刚性 内 存 类 的 ， 又 可 以 很 快 地 (不 需要 大 量 内 存 ) 进行 校 
验 。 这 个 特性 对 密码 进行 哈 硕 运算 没有 多 大 作用 ， 在 用 于 加 密 数 字 货 
币 之 前 ， 这 是 Scrypt 算 法 的 主要 用 途 。 


在 2014 年 ， 一 个 叫 作 杜 鹏 乌 周 期 的 新 解 文 滤 法 被 约翰 - 特 龙 普 
WUohn Tromp) 所 提出 〈 起 这 个 名 字 是 因为 这 个 算法 的 特性 与 杜 鹏 乌 的 
特性 类 似 ， 杜 占 洛 巢 ) 。 杜 鹏 乌 周期 算法 ， 是 从 杜 鹏 乌 哈 希 表 所 衍生 
的 一 张 图 中 寻找 周期 的 难度 而 设 定 的 ， 杜 鹏 乌 哈 希 表 这 种 数据 结构 在 
2001 年 才 被 首次 提出 。 除 了 建立 起 一 个 很 大 的 哈 希 表 之 外 ， 没 有 其 他 
已 知 的 方法 来 计算 这 个 周期 ， 结 果 却 可 以 通过 发 现 一 个 周期 (相对 小 
的 ) 来 简单 地 验证 。 


这 个 算法 可 能 会 让 刚性 内 存 或 是 内 存 限制 类 的 证 明 工 作 在 比特 币 
共识 里 变 得 更 加 实用 。 可 和民 的 是 ， 这 个 函数 无 法 在 数学 上 证 明 ， 如 末 
它 不 用 内 存 的 话 就 不 能 被 有 效 地 计算 。 通 常 ， 一 个 新 的 密码 学 算法 看 
起 来 都 是 安全 的 ， 但 是 社区 会 对 它 持 有 保留 意见 ， 直 到 它 存 在 了 多 年 
而 没有 被 破解 过 。 因 为 这 个 缘故 ， 并 且 因 为 它 也 是 最 近 才 被 发 明 的 ， 
当前 杜 鹏 乌 周 期 算法 还 没有 被 任何 加 密 数 子 货币 所 采用 。 


实际 应 用 中 的 Scrypt 


Scrypt 被 许多 种 加 密 数 字 货 币 所 使 用 ， 包 括 莱 特 币 在 内 的 几 种 热门 
币 ， 结 果 好 坏 参 半 。 针 对 莱特 币 Scrypt 算 法 参数 的 ASIC 已 经 存在 (然后 
被 其 他 几 种 另类 币 所 复制 ) 。 令 人 惊讶 的 是 ， 相 较 于 大 众 电脑 ， 这 些 
ASIC 在 算 力 上 的 提高 比 起 SHA-256 相 对 普通 电脑 的 提高 ， 至 少 旗 鼓 相 
当 甚 至 要 更 大 ! 所 以 ，Scrypt 最 终 还 是 无 法 反 ASIC， 至 少 在 莱特 币 上 是 
如 此 。 莱 特 币 的 设计 者 起 初 宣称 反 ASIC 是 莱特 币 的 一 大 优势 。 但 现在 
他 们 已 经 收回 了 这 个 说 法 。 


这 可 能 是 莱特 币 所 用 的 数值 N (内 存 使 用 参数 ) 比较 低 所 造成 的 ， 
它 只 要 求 128KB 就 可 以 进行 计算 (如 采 使 用 时 间 内 存 互 换 的 模式 ， 可 能 
所 需要 的 内 存 更 低 ， 这 也 被 普 肖 用 于 GPU 以 获得 更 快 的 缓存 。 低 数 
值 N 使 设计 一 个 不 需要 复杂 的 内 存 存储 总 线 的 轻 量 级 挖 矿 ASIC 变 得 很 
容易 ， 通 种 这 种 复杂 的 总 线 是 读 取 十 亿 字 节 (Gigabytes) 级 别 的 随机 
存 取 存 储 器 所 需要 的 ， 而 这 些 通用 电脑 都 具备 。 莱 特 币 的 开发 者 没有 
选择 一 个 比较 高 的 内 存 参数 《这 会 使 ASIC 更 加 难以 设计 ) ， 因 为 他 们 
认为 高 内 存 参数 所 导致 的 高 成 本 的 校 验 过 程 是 不 太 现实 的 。 


其 他 抵抗 ASIC 的 方法 


请 回忆 一 下 ， 我 们 的 初衷 是 想 让 可 以 大 幅度 提升 计算 性 能 的 ASIC 
的 开发 变 得 困难 。 刚 性 内 存 解 恋 只 是 其 中 一 个 方法 ， 还 有 其 他 方法 。 


遗憾 的 是 ， 其 他 的 方法 都 不 是 很 科学 ， 并 且 没 有 作为 刚性 内 存 画 
数 而 被 设计 过 或 者 攻击 过 。 最 有 名 的 一 个 叫 作 X11， 其 实 就 是 把 11 个 不 
同 的 哈 希 函数 结合 在 一 起 ， 被 一 个 叫 作 “黑暗 币 *(Dark Coin) 的 另类 币 所 
用 〈 后 面 这 个 另类 币 改名 叫 DASH) ， 在 DASH 之 后 也 被 其 他 一 些 另 类 


币 所 使 用 。X11 的 目的 是 使 设计 一 个 有 效 的 ASIC 变 得 十 分 复杂 ， 因 为 
所 有 的 11 个 函数 的 计算 模块 都 要 在 心 片上 被 实施 。 但 这 其 实 对 硬件 设 
计 者 来 说 ， 也 不 过 是 一 个 小 小 的 不 方便 而 已 。 如 果 有 一 个 针对 X11 的 
ASIC 诞 生 ， 那 么 蕊 上 会 废弃 挥 X11 的 CPU 和 GPU 控 矿 。 


X11 的 哈 硕 函数 出 目 何 处 ? 


从 2007 年 至 2012 年 ， 美 国 国家 标准 委员 会 组 织 了 一 个 竞赛 ， 这 
个 竞赛 选取 新 的 哈 硕 函数 家 族 来 作为 SHA-3 的 标准 ， 大 量 包 含 了 设 
计 文档 和 源 代 码 的 哈 硕 函数 作为 候选 方案 被 提交 。 虽 然 有 很 多 候选 
方案 在 竞赛 中 被 证 实 并 不 符合 密码 学 安全 规范 ， 但 其 中 有 24 个 哈 希 
函数 经 受 住 了 所 有 已 知 的 密码 学 攻击 ，X11 选 择 了 其 中 的 11 种 ， 包 
括 获 得 最 终 胜利 的 Keccak [3] 


另外 被 提出 但 还 没有 被 实施 的 一 个 方法 是 使 用 一 个 移动 的 目标 值 
来 作为 挖 矿 解 访 。 也 就 是 说 ， 解 文 算法 本 身 就 会 变化 ， 就 像 比 特 币 里 
的 难度 会 周期 性 地 改变 一 样 。 在 理想 的 状态 下 ， 为 上 一 个 解 文 算法 而 
被 优化 过 的 挖 矿 硬 件 ， 对 下 一 个 解 文 算法 不 再 适用 。 我 们 不 是 很 清楚 
要 多 久 改 变 一 次 解 文 算法 ， 才 能 达到 我 们 需要 的 安全 要 求 。 如 果 这 是 
由 男 类 币 的 开发 者 所 决定 的 ， 这 可 能 束 变 成 了 一 种 不 可 接受 的 中 心 化 
来 源 。 比 如 ， 开 发 者 可 以 根据 他 们 已 经 开发 出 来 的 一 种 硬件 (或 者 只 
是 优化 过 的 FPGA) ， 去 设计 一 个 相对 应 新 的 解 文 算法， 他们 目 然 就 有 
了 针对 这 个 新 算法 的 早期 优势 。 


或 许 这 些 解 密 算法 的 顺序 能 够 被 目 动 生成 ,但 这 看 上 去 也 很 难 。 
一 个 想法 是 选择 一 大 堆 哈 希 函数 (比如 24 个 没有 被 攻破 的 基于 SHA-3 的 
算法 ) ， 然 后 每 个 用 上 6 个 月 到 一 年 ， 在 这 么 短 的 周期 里 很 难 开发 新 的 


硬件 。 当 然 如 果 这 个 顺序 安排 被 事先 知道 ， 相 应 的 硬件 设计 就 可 以 按 
照 钞 数 使 用 的 时 间 表 来 进行 。 


ASIC 的 蜜月 


目前 市 面 上 还 没有 针对 X11 的 ASIC 面 世 ， 即 便 都 清楚 这 种 芯片 的 
生产 是 可 能 的 ， 这 种 现象 显示 了 可 能 很 有 用 的 规律 。 因 为 适用 X11 算法 
的 另类 币 的 市 值 都 不 高 ， 简 单 来 说 ， 还 没有 足够 的 市 场 价值 吸引 人 去 
设计 和 生产 针对 X11 的 ASIC。 一 般 来 说 ， 设 计 ASIC 的 前 期 投入 都 很 高 
(不 管 是 时 间 还 是 资金 ) ， 同 时 生产 单个 硬件 的 利润 相对 来 说 比较 
低 。 因 此 ， 对 于 新 的 还 没有 被 证 实 的 加 密 数字 货币 ， 是 不 值得 去 投资 
研发 针对 性 的 ASIC， 因 为 在 新 的 硬件 设备 可 用 之 前 这 个 货币 就 可 能 失 
败 了 。 即 使 有 一 个 明显 的 市 场 需求 ， 也 会 有 硬件 研发 生产 到 出 货 的 延 
迟 。 第 一 批 比特 币 的 ASIC 从 最 初 设计 到 最 终 出 货 花 了 近 一 年 时 间 ， 这 
在 硬件 行业 里 已 经 算是 很 快 了 。 


正 因 为 如 此 ， 任 何 使 用 新 的 挖 矿 解 访 算 法 的 另类 币 都 会 经 历 一 个 
ASIC 密 月 期 ， 在 这 段 时 间 内 ， 用 GPU 和 FGPA 控 矿 (或 许 CPU 控 掘 ) 的 利 
润 会 比较 高 。 对 于 永久 阻止 ASIC 的 浪潮 不 太 可 能 ， 但 是 吸引 个 人 参与 
控 矿 (并 且 因 此 而 获得 新 币 ) 的 做 法 ， 在 新 币 还 处 于 步步为营 的 阶 
段 ， 还 是 有 价值 的 。 


对 于 抵抗 ASIC 的 争论 


我 们 已 经 可 以 看 到， 从 长 远 来 讲 做 到 反 ASIC 是 不 太 可 能 的 。 但 是 
也 有 一 些 其 他 意见 ， 觉 得 从 已 经 被 证 明 的 SHA-256 解 谜 算法 转变 为 一 个 
密码 学 角度 偏 弱 的 新 解 谜 算法 ， 会 存在 一 定 的 风险 。 甚 者 ，SHA-256 的 


挖 矿 ASIC 已 经 接近 当今 硬件 效能 的 极限 了 。 这 意味 着 ，ASIC 所 市 来 的 
指数 型 增长 可 能 结束 了 ， 之 后 SHA-256 挖 矿 也 会 因此 给 网 络 带 来 最 大 的 
稳定 性 。 


最 后 ， 还 有 一 种 意见 认为 ， 在 短期 内 反 ASIC 也 不 好 。 在 第 3 章 中 ， 
我 们 曾 探 讨 过 即使 一 个 拥有 全 网 51% 算 力 的 矿工 ， 他 如 若 尝试 做 出 很 多 
类 型 的 攻击 ， 也 并 不 理性 。 因 为 这 样 一 来 会 使 币值 汇率 月 涡 ， 使 得 矿 
工 在 挖 矿 设 备 上 的 巨额 投资 大 幅 减 值 ， 他 通过 挖掘 赚 来 的 比特 币 的 价 
值 也 会 大 幅 下 降 。 


对 于 一 个 高 度 反 ASIC 的 解 广 算法 ， 这 个 安全 性 的 说 辞 可 能 会 站 不 
住 脚 。 举 例 来 说 ， 一 个 攻击 者 可 能 会 暂时 租用 巨大 算 力 [比如 像 亚 马 
还 (Amazon) 的 EC2 服 务 | ， 用 它 来 攻击 ， 然 后 不 会 承受 任何 财务 上 
的 损失 ， 因 为 他 们 不 需要 在 攻击 后 继续 租用 这 个 服务 。 相 比较 而 言 ， 
对 于 一 个 “对 ASIC 友 好 ”的 解 谜 算法 ， 攻 击 者 就 不 得 不 控制 一 大 堆 只 可 
以 用 作 加 密 货币 挖 矿 的 ASIC。 这 样 的 一 个 攻击 者 其 实 应 该 是 看 好 比特 
币 示 来 的 发 展 ， 做 了 一 个 最 大 限度 的 投资 。 按 照 这 个 逻辑 进行 推理 的 
话 ， 为 了 最 大 限度 地 保护 安全 ， 或 许 挖 矿 解 文 算法 应 该 被 设计 成 不 仅 
仅 要 让 有 效 的 挖 矿 ASIC 被 设计 生产 出 来 ， 更 应 该 让 那些 ASIC 除 了 用 于 
加 密 货币 的 解 文 运算 之 外 ， 没 有 任何 其 他 用 途 ! 


译 者 


[也 就 是 花费 更 多 去 提高 内 存 的 效能 ， 并 不 能 以 相同 比例 去 提高 解 谜 的 效能 。 


注 


[2] Scrypt 是 由 著名 的 FreeBSD 黑 客 Colin Percival 为 他 的 备份 服务 Tarsnap 开 发 的 。Scrypt 不 
仅 计 算 所 需 时 间 长 ， 而 且 占 用 内 存 也 多 ， 使 得 并 行 计算 多 个 摘要 异常 困难 ， 因 此 利用 rainbow 
table 进 行 紧 力 攻击 更 加 困难 。Scrypt 没 有 在 生产 环境 中 大 规模 应 用 ， 并 且 缺 乏 仔 细 的 审 察 和 广 
泛 的 函数 库 文 持 。 一 一 译 者 注 
[3]j 是 奇数 时 ， 减 1 为 偶数 ， 我 们 存 的 是 有 侧 数 的 值 的 。 一 一 译 者 注 
[4] 有 关 分 义 攻 击 的 内 容 ， 可 以 参见 本 书 第 5 章 。 一 一 译 者 注 
[5] Keccak 算 法 为 SHA-3 的 一 种 加 密 标 准 。 一 一 译 者 注 。 


8.3 有 效 工 作 量 证 明 


在 第 5 章 ， 我 们 讨论 了 比特 币 挖 矿 的 能 量 消耗 (有些 人 会 说 是 浪 
费 ) 是 个 潜在 问题 ， 经 济 学 家 称 之 为 负 外 部 性 。 我 们 估计 比特 币 控 矿 
要 消耗 几 十 万 千瓦 的 电能 。 所 以 一 个 明显 的 问题 是 ， 这 些 用 来 解 恋 运 
算 的 工作 量 是 否 对 社会 有 所 页 献 ? 这 其 实 是 一 个 资源 再 生 循 环 的 问 
古 ， 也 会 增加 社会 对 加 密 数 子 货币 的 政策 文 持 。 当 然 ， 这 个 解 文 算法 
也 必须 满足 儿 个 基本 的 要 求 ， 才 能 够 在 一 个 共识 协议 里 被 使 用 。 


以 前 的 分 布 式 计算 项 目 


在 比特 币 诞生 好 多 年 之 前 ， 束 有 利用 空间 的 电脑 [或 者 叫 “ 空 亲 周 
期 ”(spare cycle) 」 来 做 一 些 其 他 工作 的 想法 。 表 8.1 列 出 了 最 受 欢 迎 
的 几 个 志愿 者 运算 项 目 。 所 有 这 些 项 目 都 有 一 个 特性 ， 使 得 它们 适合 
成 为 解 广 算法 的 运算 。 具 体 来 说 ， 它 们 需要 解决 的 都 是 一 种 “大 海 捞 
针 ” 型 的 问题 ， 可 能 的 答案 存在 于 一 个 非常 大 的 空间 (或 者 说 范围 ) ， 
搜索 空间 的 每 一 小 部 分 都 可 以 进行 并 行 的 快速 验证 。 最 有 名 的 例子 是 
在 SETI@home 网 站 上 ， 志 愿 者 们 被 分 配 一 小 段 无 线 电信 号 ， 用 内 置 的 
个 人 电脑 来 分 析 这 段 信号 可 能 存在 的 模式 以 寻找 外 星 文明 ， 同 时 分 布 
式 计 算 网 站 distributed.net) 的 志愿 者 被 分 配 一 小 段 可 能 的 私 钥 来 进行 
验证 。[ 


志愿 者 运算 项 目 ， 成 功 地 把 一 个 很 大 的 计算 任务 拆 分 成 小 份 的 任 
务 ， 然 后 分 配给 每 一 个 志愿 者 进行 运算 检查 。 事 实 上 ， 这 种 模式 在 一 
个 特别 的 叫 作 伯克利 开放 式 网 络 计算 平台 (Berkeley Open Infrastructure 


for Network Computing， 简 称 BOINC) 上 是 很 普遍 的 ， 这 个 平台 被 开发 
出 来 丈 是 用 来 给 不 同 的 个 体 分 发 小 份额 计算 工作 的 。 


在 这 些 应 用 里 ， 志 愿 者 们 主要 都 生 被 解决 某 个 问题 的 兴趣 所 吸 
引 ， 即 使 这 些 项 目 通 党 也 会 设立 一 个 排行 榜 来 让 人 们 炫 光 他 们 所 贡献 
的 算 力 。 排 行 榜 也 导致 一 些 人 在 自己 的 工作 量 上 作 效 ， 有 一 些 被 报告 
的 工作 量 其 实 并 没有 实际 完成 ， 这 也 使 得 有 些 项 目 再 分 配 一 些 额外 的 
工作 去 检查 网 络 上 的 这 种 作 浆 行为。 金 线 ， 是 加 密 数 字 货 币 分 布 式 计 
算 应 用 的 动力 ， 只 要 技术 上 有 是 可 能 的 ， 一 定 会 有 参与 者 莹 试 去 作 况 。 


表 8.1 热门 的 志愿 者 运算 项 目 
项 目 成 立时 间 目标 影响 
Great Internet 连续 12 次 发 现 最 大 的 质数 包括 


Mersenne Prime Search 


1996 年 ”找到 大 的 梅森 质数 257885161 _] 


密码 学 的 暴 次 公开 成 功 地 暴 7 64 
ek 1997 年 密码 学 的 暴力 破解 ”首次 公开 成 功 地 暴力 破解 了 


演示 位 的 密码 私 钥 
迄今 为 止 最 大 的 分 布 式 计算 项 
SETI@ home 1999 年 寻找 < 
0 TT Te 目 ， 有 500 万 以 上 的 参与 者 
质 折 炙 模 提 -最 大 算 力 的 志愿 者 运算 项 
i )000 年 。 蛋白 质 折 天 模拟 在 ”史上 最 大 算 力 的 志愿 者 运算 项 


原子 级 别 上 的 实现 目 ， 超 过 118 篇 科技 论文 被 发 表 


有 效 工 作 量 证 明 的 挑战 


有 了 这 些 成 功 的 项 目 ， 我 们 可 以 尝试 商 单 直接 地 利用 这 些 解 决 问 
题 的 成 功 方法 。 例 如 ， 在 SETI@home 的 项 目 中 ， 志 愿 者 们 被 分 配 一 小 
段 无 线 电信 号 监听 去 寻找 外 星人 ， 我 们 可 以 判断 ， 外 星人 存在 的 概 
率 ， 要 比 解 谜 算法 找到 “获胜 ”答案 并 且 人 允许 找到 答案 的 矿工 去 创建 一 个 
区 块 的 概率 小 很 多 。 


但 这 个 想法 有 几 个 问题 。 首 先 ， 并 不 是 所 找到 的 答案 都 有 同样 的 
概率 成 为 “获胜 ”的 答案 。 参 与 者 可 能 会 意识 到 有 特定 区 域 会 有 更 高 概率 
找到 异类 ， 那 么 参与 者 融会 有 倾 问 性 ， 只 针对 一 些 能 产生 不 同 寻 单线 
果 的 区 域 进行 分 析 。 对 于 一 个 中 心 化 的 项 目 来 说 ， 参 与 者 被 分 配 工 
作 ， 所 以 所 有 的 区 域 最 终 都 会 被 分 析 (当然 对 最 有 布 望 的 区 域 会 予以 
优先 考量 ) 。 对 于 控 矿 来 说 ， 任 何 矿工 可 以 随意 尝试 任何 区 块 ， 所 以 
矿工 会 先 涌 癌 最 有 布 望 的 区 块 。 如 有 果 更 快 的 矿工 知道 他 们 可 以 爷 答 试 
最 有 希望 的 区 块 ， 这 束 意 味 着 解 文 算法 可 能 不 是 一 个 过 程 无 关 的 算 
法 。 比 特 币 的 解 谜 算法 与 之 相 比 承 有 不 同 ， 比 特 币 的 解 谜 算法 中 用 来 
产生 一 个 有 效 区 块 的 临时 随机 数 都 征 完 全 平等 的 ， 所 以 所 有 矿工 都 会 
随意 选择 一 个 临时 随机 数 去 尝试 。 这 个 问题 展示 了 我 们 之 前 都 已 经 习 
以 为 党 的 比特 币 解 谜 算法 的 一 个 主要 特征 : 一 个 机 会 均等 的 解 谜 区 
域 。 


其 次 ， 考 虚 到 SETI@home 项 目 中 存在 着 固定 的 数据 量 需 要 被 分 析 
的 问题 ， 这 些 数据 基于 射电 望远镜 (radio telescope) 的 观察 。 随 着 控 
矿 算 力 的 不 断 增长 ， 有 可 能 某 一 天 束 没 有 需要 加 工 的 数据 了 。 比 特 币 
在 这 方面 也 有 不 同 ， 比 特 币 算法 有 无 限 的 SHA-256 解 广 可 以 被 创造 出 
来 ， 这 就 说 明了 男 一 个 重要 的 特征 需求 :， 永 不 枯 润 的 解 文库 。 


和 最后， 考虑 到 SETI@home 的 项 目 中 ， 有 一 个 受信 任 的 中 心 化 的 管 
理 员 机 构 ， 人 负责 发 现 新 的 无 线 电信 号 并 判断 志愿 者 们 应 该 研究 的 内 
容 。 同 样 ， 由 于 我 们 使 用 解 文 算法 来 构建 一 个 共识 机 制 算 法 ， 不 可 能 
假设 一 个 中 心 化 的 机 构 来 管理 所 有 的 解 谜 ， 这 样 我 们 就 需要 所 有 解 迹 
的 最 后 一 个 特征 : 通过 算法 目 动 生成 。 


哪 种 志愿 着 运算 项 目 可 能 适合 解 访 算法 


回 到 表 8.1， 我 们 可 以 清楚 地 看 到 ， 像 SETI@home 和 Folding@home 
这 样 的 项 目 不 太 适合 去 中 心 化 的 共识 机 制 协议 ， 两 者 都 被 证 明了 缺乏 
我 们 所 列 出 的 上 述 三 个 特性 。distributed.net 上 的 暴力 破解 密码 学 项 目 可 
能 适用 ， 虽 然 它 们 通常 被 某 些 公司 用 来 做 某 种 加 密 算法 的 安全 评估 ， 
但 是 不 能 通过 算法 自动 生成 。 我 们 可 以 通过 算法 目 动 生成 被 又 力 人 破解 
的 加 密 方法 ， 但 是 某 种 程度 上 这 就 是 SHA-256 不 完全 原 像 (partial 
preimage) 算法 已 经 做 过 的 事 ， 并 且 它 没有 任何 有 益 的 功能 。 


那 融 只 剩 下 互联 网 梅森 质数 大 搜索 (Great Internet Mersenne Prime 
Search， 人 简称 GIMPS) 项 目 了 ， 这 个 最 具备 可 用 性 。 这 个 办 法 的 挑战 是 
通过 算法 自动 生成 (找到 下 一 个 比 当 前 最 大 质数 更 大 的 质数 ) ， 以 及 
文 抵 空间 是 不 可 穷尽 的 。 事 实 上 ， 质 数 的 寻找 确实 是 无 穷 的 ， 因 为 质 
数 的 个 数 已 经 被 证 明 是 无 限 个 的 (特别 是 梅森 质数 是 无 限量 的 ) 。 


梅森 质数 方法 的 唯一 缺点 ， 是 需要 伦 费 很 长 的 时 间 来 寻找 梅森 质 
数 ， 并 且 梅 牺 质 数 非 音 罕见， 事实 上 在 过 去 18 年 里 ， 梅 森 质数 大 搜索 
项 目 一 共 才 发 现 了 14 个 梅森 质数 ， 显 然 在 区 块 链 上 每 年 才 增 加 不 足 一 
个 区 块 是 不 可 行 的 。 这 个 问题 看 起 来 是 缺乏 可 调 广 的 难度 特性 ， 我 们 
在 8.1 广 讨论 过 这 个 特性 是 非常 天 键 的 。 无 论 如 何 ， 类 似 于 寻找 质数 这 
样 的 解 文 算 法 ， 看 起 来 是 可 行 的 。 


质 效 币 


到 2015 年 为 止 ， 唯 一 在 实际 中 被 应 用 的 被 证 明 具 有 有 效 工作 的 系 
统 是 质数 币 (Primecoin) 。 质 数 币 的 主要 挑战 是 为 质数 找到 一 个 “ 坎 宁 
安 链 ” (Cunningham chain) 。 坎 宁 安 链 是 指 k 个 质数 的 序列 Pl ,P> 
,.…Pk ， 以 使 得 Pk =2Pij-1 +1°。 也 束 是 说 ， 你 选 一 个 质数 ， 然 后 把 这 个 
质数 乘 以 2 再 加 1 以 得 到 下 一 个 质数 ， 直 到 你 得 到 一 个 和 数 ( 非 质 
数 ) 。 含 有 2,，5，11，23，47 就 是 一 个 长 度 为 5 的 坎 宁 安 链 ， 按 照 这 个 


规则 所 获得 的 第 六 个 数字 95 并 不 是 质数 (95=5x19)。 最 长 的 已 知 的 坎 
宁 安 链 的 长 度 是 19 (从 79，910，197，721，667，870，187，016， 
101 开 始 ) ， 有 一 个 被 推测 以 及 被 广泛 认可 但 没有 被 证 明 过 的 理论 认 
为 ， 存 在 一 条 任意 的 长 度 为 k 的 坎 宁 安 链 。 


现在 ， 要 把 这 个 理论 变 成 一 个 可 计算 的 解 文 算法 ， 我 们 需要 三 个 
关键 的 参数 m、n 和 k， 稍 后 我 们 会 具体 解释 。 对 于 给 定 的 一 个 解 恋 挑 战 
x (上 一 个 区 块 的 哈 希 函数 值 ， ， 我 们 选择 x 上 的 前 m 位 数 。 我 们 可 以 认 
为 任何 长 度 为 k 的 链 或 者 大 于 k 的 答案 是 正确 的 ， 这 条 链 上 的 第 一 个 质 
数 是 一 个 n 位 质数 并 且 和 x 一 样 有 m 位 的 首 段 数 据 (n>m)。 值 得 注意 的 
和 是， 我 们 可 以 调整 np 和 k 的 值 ， 来 让 这 个 解 谜 变 得 更 加 困难 。 增 加 k 的 值 
(需要 的 链 的 长 度 ) 使 得 问题 难度 指数 型 增长 ， 而 增加 n 的 值 〈 链 上 的 
第 一 个 质数 的 长 度 ) 使 得 问题 难度 线性 增长 ， 这 就 可 以 让 我 们 对 问题 
难度 进行 微调 。 其 中 ，m 的 值 只 需要 足够 大 ， 使 得 在 知道 前 一 个 区 块 的 
值 之 前 的 预先 计算 方法 变 得 没有 意义 。 


其 他 我 们 所 讨论 的 属性 看 起 来 已 经 都 有 了 : 结果 可 以 很 快 被 校 
验 ， 问 题 本 身 是 无 关 过 程 的 ， 题 库 可 以 无 限 大 (假设 对 质数 分 布 的 知 
名 数学 推导 是 正确 的 ) ， 然 后 解 谜 可 以 通过 算法 做 到 自动 生成 。 实 际 
上 ， 这 个 解 谜 算法 已 经 被 质数 币 用 了 两 年 ， 并 且 对 许多 给 定 的 k 信 产生 
了 坎 宁 安 链 里 最 大 的 质数 。 质 数 币 还 做 了 进一步 的 扩展 ， 在 其 工作 量 
证 明 中 酒 盖 了 其 他 类 似 的 质数 链 ， 包 括 “ 第 二 ” 欣 宁 安 链 ， 其 中 Pi =2Pi 
a 


这 验证 了 在 某 些 限定 的 情况 下 ， 有 效 工作 量 证 明 是 具有 实际 运用 
的 。 当 然 ， 寻 找 大 的 坎 宁 安 链 有 用 与 否 ， 是 有 争议 的 。 坎 宁 安 链 当 然 
也 代表 了 我 们 已 知 数学 知识 宝库 的 一 小 部 分 ， 其 在 未 来 可 能 会 有 一 些 
应 用 场景 ， 但 在 目前 还 没有 实际 的 应 用 出 现 。 


水 久 币 和 存储 量 证 明 


另外 一 种 有 效 工 作 量 证 明 叫 存储 量 证 明 (proof of storage) ， 也 被 
称 为 可 恢复 性 证 明 (proof of retrievabitlity) 。 不 同 于 需要 一 个 单独 计 
算 的 解 访 算 法 ， 我 们 可 以 设计 一 个 需要 存储 大 量 数 据 被 运算 的 解 文 算 
法 ， 如 果 这 个 数据 是 有 用 的 ， 那 么 矿工 在 控 矿 人 硬件 设备 上 的 投资 束 可 
以 被 用 于 大 范围 分 布 式 存储 和 归档 系统 。 


让 我 们 看 一 下 永久 币 (Permacoin) ， 这 是 第 一 个 用 于 共识 机 制 的 
存储 量 证 明 方案 。 首 先 我 们 讨论 一 个 大 文件 FE， 我 们 假设 所 有 人 都 认可 
F 的 价值 并 且 这 个 文件 不 会 被 改变 。 例 如 ， 当 一 个 加 密 数 字 货 币 上 线 
时 ， 由 一 个 可 信任 的 分 发 者 选择 F， 这 有 点 类 似 于 任何 一 个 加 密 数 字 货 
币 启 动 时 都 需要 一 个 创 世 区 块 ， 理 想 状 况 下 这 个 文件 会 具备 公共 价 
值 。 例 如 ， 大 型 强 子 页 撞 (Large Hadron Collider， 人 简称 LHC) 的 实验 数 
据 ， 这 个 数据 已 经 达到 了 几 百 拍 字 节 (petabytes， 用 PB 表示 ) 的 大 
小 ， 对 这 些 数据 的 备份 是 很 有 价值 的 。 


当然 ， 因 为 F 存 储量 非常 巨大 ， 大 多 数 参 与 者 者 无 法 对 整个 文件 进 
行 存储 ， 但 我 们 已 经 知道 ， 在 不 需要 了 解 整个 文件 的 情况 下 ， 如 何 使 
用 密码 学 里 的 哈 希 函数 来 确保 每 个 人 都 对 F 认 可 。 最 简单 的 方法 是 ， 
个 人 都 认可 H(F), 但 更 好 的 方法 是 用 一 个 大 型 梅 元 尔 树 来 代表 F， 所 有 
的 参与 者 都 认可 梅 区 尔 树 的 根 值 。 现 在 ， 每 个 人 都 认可 FE 的 价值 ， 证 明 
F 的 任意 一 部 分 是 正确 的 就 变 得 很 有 效率 。 


在 永久 币 系 统 中 ， 每 一 个 矿工 M 存 储 着 任意 F 文 件 的 子 集 FM CC 
F。 为 了 实现 这 一 点 ， 当 矿工 产生 一 个 公 钥 KM 来 接受 资金 时 候 ， 他 们 
束 对 该 公 钥 进行 哈 硕 运算 以 生成 一 个 区 块 FM 的 虚拟 随机 数 集 ， 他 们 必 
须 存 储 这 个 数 集 以 实现 挖 矿 的 目的 。 这 个 子 集束 会 变 成 某 个 固定 数量 
的 区 块 ki 的 一 部 分 ， 我 们 必须 在 这 里 做 一 个 假设 ， 当 矿工 开始 挖 矿 的 


时 候 ， 他 们 有 办 法 获得 这 些 区 块 一 一 可 能 是 从 一 个 标准 文件 产地 址 下 
载 下 来 ( 见 图 8.2) 


[DF 中 的 区 块 
: 国 FW 中 的 区 块 : F 的 根 
: 国 国 Fw ,中 的 区 块 : 


图 8.2 在 永久 币 系 统 中 选择 一 个 文件 的 随机 区 块 
注 : 在 这 个 案例 中 ，k1 =6，ko =2。 在 实际 应 用 中 ， 这 些 参数 会 大 很 多 。 


一 旦 矿工 在 本 地 存储 了 FM ， 这 个 解 这 算法 束 非 常 类 似 于 传统 的 
SHA-256 挖 矿 了 。 给 定 前 一 个 区 块 的 哈 希 值 x 时 ， 了 旷工 选择 一 个 临时 随 
机 数 n， 将 其 进行 哈 布 运算 并 产生 一 个 虚拟 随机 数 子 集 FMn C FM ， 
这 个 子 集 包 含 了 ko2 <ki1 个 区 块 。 值 得 注意 的 是 ， 这 个 子 集 是 由 所 选 的 
临时 随机 数 和 矿工 的 公 钥 共同 产生 的 。 最 后 ， 矿 工 对 n 以 及 Fk 中 的 区 
块 ， 进 行 SHA-256 的 哈 希 函数 运算 ， 如 采 计 算 的 结果 是 低 于 目标 难度 
的 ， 那 么 也 惑 意 味 着 他 们 找到 了 一 个 有 效 的 方案 。 


校 验 一 个 解 谜 算法 的 结果 需要 以 下 几 个 步 又 


e 校 验 FMn 是 由 矿工 的 公 钥 KM 和 临时 随机 数 n 共 同 产生 的 。 


e。 通过 检验 其 在 梅 元 尔 树 万 点 到 全 局 统一 的 树 根 路 径 ， 来 检验 
FMn 中 的 每 一 个 区 块 是 正确 的 。 


。 校 验 H(EM n |m) 的 值 比 目标 难度 要 小 。 


我 们 很 容易 看 出 ， 为 什么 解 谜 过 程 需要 矿工 在 本 地 存储 所 有 的 
FM n。 对 于 每 一 个 临时 随机 数 ， 矿 工 都 需要 计算 EM n 中 随机 子 集 的 哈 
希 值 ， 如 果 通 过 远程 访问 一 个 存储 空间 来 获取 文件 ， 就 会 非常 慢 ， 几 
乎 不 可 能 实行 。 


不 同 于 Scrypt 算 法 的 案例 ， 如 果 k2 足够 大 ， 并 没有 一 种 可 行 的 类 似 
于 时 间 内 存 的 权衡 方案 。 如 琳 矿 工 仅 仪 在 本 地 存储 了 一 半 的 FM ， 并 且 
k2 =20， 那 么 在 他 们 找到 一 个 不 需要 从 网 络 中 取 回 任何 文件 区 块 的 临时 
随机 数 之 前 ， 他 们 必须 要 壬 试 100 万 次 ， 降 低 一 定量 的 存储 人 负担 会 以 计 
算 量 指数 型 增长 为 代价 。 当 然 ， 由 于 k2 梅 元 尔 树 路 径 要 在 所 有 的 路 径 
中 被 传输 和 校 验 ， 如 琳 k2 设 得 太 大 ， 也 会 使 运算 变 得 非 第 低 效 。 


k1 的 设 定 也 可 以 有 所 权衡 。 更 小 的 k1 意味 着 矿工 需要 更 少 的 本 地 
存储 空间 ， 因 此 这 种 控 矿 就 更 加 民主 化 (更 多 的 人 可 以 参与 ) 。 然 
而 ， 这 也 意味 着 ， 大 量 的 矿工 即使 有 能 力 提 供 更 大 的 存储 空间 ， 他 们 
也 没有 动力 去 存储 多 于 k1 个 F 区 块 。 


同样 ， 这 是 一 个 对 完整 的 永久 币 做 了 细微 简化 的 方案 ,但 古 对 我 
们 理解 整个 设计 的 关键 部 分 来 说 是 足够 的 了 。 最 大 的 应 用 挑战 ， 当 然 
征 找到 一 个 合适 的 大 文件 ， 这 个 文件 要 有 一 定 的 重要 意义 ， 同 时 也 是 
公共 的 ， 需 要 保存 多 个 备份 。 如 果 F 文 件 本 身 随 着 时 间 的 推移 会 发 生变 
化 ， 或 者 随 着 时 间 的 变化 而 调整 难度 ， 这 样 会 使 方案 变 得 更 加 复杂 。 


长 期 的 挑 成 和 经 济 意 义 


总 结 一 下 本 万 内容， 有 效 工 作 量 证 明 是 一 个 非常 目 然 的 目标 。 考 
虑 到 一 个 好 的 共识 机 制 所 需要 的 其 他 解 谜 算法 ， 实 行 起 来 也 有 相当 大 
的 挑战 。 即 使 如 此 ， 至 少 本 文 所 举 的 两 个 案例 一 一 质数 币 和 永久 币 
一 一 在 技术 上 是 可 行 的 ， 虽 然 它 们 也 都 有 一 些 技术 方面 的 缺陷 (主要 


都 是 需要 更 长 的 时 间 去 验证 解 恋 结 采 ) 。 此 外 ， 对 比 在 比特 币 控 矿 中 
动力 数 百 万 类 元 的 投入 以 及 大 量 电力 的 消耗 这 两 种 加 密 数 子 货 币 的 
应 用 都 对 社会 公益 有 一 些 页 献 。 


有 效 工作 量 证 明 是 否 应 该 是 纯 公 在 的 ， 有 一 个 有 趣 的 经 济 学 方面 
的 争议 。 在 经 济 学 中 ， 公 益 的 意思 是 非 排 他 性 的 ， 也 就 是 说 所 有 人 都 
可 以 参与 使 用 ， 并且 是 非 范 争 性 的 ， 对 公益 的 其 他 用 还 不 应 该 影响 其 
本 号 的 价值 。 一 个 经 典 的 例子 就 是 灯塔 。 


我 们 这 里 所 讨论 的 案例 ， 比 如 蛋白 质 折 秦 (protein folding) [2] ， 
就 不 是 一 个 纯 公 益 的 项 目 ， 因 为 有 一 些 公司 (比如 大 的 制药 公司 ) 可 
以 从 中 获 利 。 实 质 上 ， 这 些 机 构 控 矿 的 成 本 会 相对 变 低 ， 因 为 它们 可 
以 获取 其 他 人 无 法 获得 的 额外 利益 。 


[1] 大 约 有 500 万 人 参加 这 个 计划 ， 包 括 译 者 本 人 。 一 一 译 者 注 


[2] 蛋白 质 折 县 问题 被 列 为 "21 世纪 的 生物 物理 学 ”的 重要 课题 ， 它 是 分 子 生物 学 中 心 法 则 
尚未 解决 的 一 个 重大 生物 学 问题 。 一 一 译 者 注 


8.4 不 能 外 包 的 解 谜 算法 


我 们 现在 再 看 一 下 对 于 蔡 代 控 矿 解 谜 的 尹 一 个 设计 重点 : 防止 矿 
池 的 产生 。 我 们 在 先前 的 第 5 章 里 谈 到 ， 大 部 分 的 比特 币 矿工 都 会 加 入 
一 个 矿 池 ， 而 不 是 独立 挖 矿 。 这 了 束 造 成 了 少量 矿 池 拥 有 绝 大 部 分 控 矿 
算 力 的 现象 。 由 于 每 个 矿 池 都 有 一 个 中 心 化 的 管理 方 ， 有 些 人 担心 这 
其 实 违反 了 比特 币 去 中 心 化 的 核心 设计 原则 ， 会 危害 到 比特 币 的 安全 
人 


拥有 大 部 分 算 力 的 矿 池 显然 是 一 个 问题 ， 任 何 一 个 中 心 化 管理 的 
矿 池 可 能 会 实施 一 套 自 定义 的 控 矿 策略 ， 然 后 用 它 来 攻击 网 络 。 这 种 
矿 池 也 是 黑客 们 攻击 的 目标 ， 因 为 通过 攻击 矿 池 可 以 迅速 地 控制 大 量 
的 挖 矿 算 力 。 矿 池 管理 员 也 可 能 会 删改 交易 或 是 强迫 收取 更 高 的 交易 
费 。 矿 池 中 拥有 大 多 数 矿 工 ， 意 味 着 大 部 分 矿工 都 没有 运行 一 个 完全 
有 效 节点 。 

有 意思 的 是 ， 这 些 担忧 有 着 现实 世界 的 影子 ， 比 如 选票 。 在 美国 


和 其 他 许多 国家 ， 出 售 选票 是 非法 的 。 加 入 一 个 被 一 方 控制 的 矿 池 ， 
和 在 比特 币 的 共识 协议 里 出 售 你 的 选票 有 点 类 似 。 


矿 池 的 技术 要 求 


回忆 起 来 ， 矿 池 看 起 来 是 一 个 突然 发 生 的 现象 。 并 没有 证 据 显 
示 ， 中 本 聪 在 比特 币 的 最 初 设计 中 考虑 过 矿 池 的 概念 。 在 互相 不 信任 
的 个 体 之 间 运行 一 个 有 效率 的 矿 池 ， 这 样 的 事情 在 最 初 的 几 年 里 看 起 
来 不 太 现 实 。 


正如 我 们 在 第 5 草 所 看 到 的 ， 夏 池 通 常会 指定 一 个 管理 员 ， 他 有 一 
个 大 家 都 知道 的 公 钥 。 每 一 个 加 入 的 矿工 还 是 按照 往常 一 样 进行 控 
矿 ， 然 后 递交 “近似 ?或 者 “部 分 ”答案 给 矿 池 管 理 员 ， 这 些 答案 在 低级 
别 难度 的 时 候 可 能 就 古 一 个 有 效 答案 ， 通 过 这 种 做 法 来 证 明 他 们 做 了 
多 少 工 作 量 。 当 矿 池 中 的 某 一 个 参与 者 找到 了 一 个 有 效 区 块 的 时 候 ， 
这 个 管理 员 会 按照 每 个 人 所 提交 的 工作 量 的 占 比 来 分 配 奖 励 。 虽 然 有 
很 多 种 不 同 的 分 配方 式 ， 但 是 所 有 人 矿 池 都 遵循 这 个 基本 模式 。 


正 因 为 如 此 ， 矿 池 的 存在 依赖 于 比特 币 的 两 大 技术 特征 。 第 一 ， 
一 个 矿工 很 容易 通过 提交 工分 来 证 明 (概率 上 ) 他 所 做 的 工作 量 。 不 
管 实际 上 找到 一 个 有 效 区 块 是 多 么 困难 ， 通 过 设 定 一 个 足够 低 的 合格 
工分 的 临界 值 ， 矿 工 可 以 容易 地 证 明 他 们 在 任意 精度 的 工作 量 。 考 虑 
到 我 们 需要 解 谜 题目 可 以 在 任意 难度 上 被 创造 出 来 ， 这 个 问题 看 起 来 
很 难 改变 。 


第 二 ， 矿 池 成 员 可 以 容易 地 向 管理 员 证 明 ， 他 们 遵守 规则 并 且 通 
过 实际 运算 来 寻找 有 效 区 块 ， 然 后 矿 池 会 作为 一 个 整体 接受 奖励 。 这 
征 行 得 通 的 ， 因 为 这 个 矿 池 的 公 钥 是 被 写 进 币 基 交 易 ， 并 包括 在 区 块 
里 的 梅 克 尔 树 上 。 即 使 一 个 矿工 找到 了 一 个 有 效 区 块 ， 甚 至 只 是 一 个 
近似 区 块 〈 也 叫 工分 ) ， 他 也 无 法 改变 整个 矿 池 的 公 钥 ， 而 成 为 新 铸 
币 的 接受 者 。 


“区 块 丢 弃 ” 攻 击 (block-discarding attack) 


矿 池 的 这 种 设计 有 一 个 弱点 ， 没 有 办 法 来 确保 矿工 在 找到 有 效 区 
块 的 时 候 一 定 会 提交 给 管理 员 。 假 设 有 一 个 矿 池 成 员 对 一 个 大 型 矿 池 
不 满 ， 他 可 以 正常 地 参与 挖 矿 然后 提交 工分 ， 但 他 在 找到 一 个 有 效 区 
块 (可 以 让 整个 矿 池 获得 奖励 ) 的 时 候 ， 并 没有 告诉 管理 员 而 是 直接 
把 它 丢弃 掉 。 


这 个 攻击 降低 了 整个 矿 池 的 挖 矿 能 力 ， 因 为 攻击 者 的 工作 量 并 没 
有 实际 贡献 到 控 矿 中 去 。 但 是 这 个 矿工 依然 会 收 到 奖励 ， 因 为 他 看 起 
来 也 在 不 断 地 提交 工分 ， 只 是 运气 不 好 没有 找到 有 效 的 区 块 。 如 采 这 
个 矿 池 的 奖励 设计 方案 是 收入 中 性 的 〈 也 束 是 所 有 的 控 矿 奖励 都 被 分 
发 到 每 个 参与 者 ) ， 那 样 的 话 这 个 攻击 会 让 这 个 矿 池 亏 损 。 


这 种 攻击 被 称 作 民 间 攻 击 或 者 是 蓄意 破坏 攻击 ， 这 也 被 认为 是 一 
种 蓄意 破坏 ， 因 为 这 个 攻击 看 上 去 对 攻击 者 和 矿 池 都 是 不 经 济 的 、 代 
价 不 菲 的 。 这 个 攻击 者 本 身 也 会 遭受 损失 ， 因 为 他 所 丢弃 的 有 效 区 块 
将 会 使 他 放弃 他 应 该 有 的 一 部 分 奖励 回报 。 当 然 ， 这 个 攻击 者 还 是 会 
由 于 其 他 一 些 控 矿 解密 算法 而 获 利 。 


看 起 来 一 个 理性 的 矿工 不 会 采用 这 种 策略 ， 因 为 他 会 有 所 损失 而 
不 会 得 到 任何 实际 的 回报 。 但 〈 令 人 惊讶 的 是 ) 在 某 些 情况 下 ， 这 个 
策略 古 可 以 有 利 可 图 的 ， 我 们 在 下 文 有 所 讨论 。 但 是 无 论 如 何 ， 我 们 
想 要 设计 一 个 全 新 的 挖 矿 解 谜 算法 ， 以 确保 这 种 策略 永远 都 是 有 利 可 
图 的 〈 以 抵抗 矿 池 的 存在 ) 。 


矿 池 之 间 的 区 块 丢弃 攻击 


好 多 年 以 来 ， 人 们 都 觉得 进行 区 块 丢 弃 攻 击 是 无 利 可 图 的 ， 
实际 上 如 果 两 个 矿 池 之 间 的 互相 攻击 却 不 一 样 。 这 种 方案 已 经 被 
提出 来 好 多 次 ， 伊 泰 : 艾 瑞 尔 (Ittay Eyal) 2015 年 的 论文 中 首次 深 
入 分 析 了 这 种 攻击 模式 。 


我 们 考虑 一 个 简单 的 案例 : 假设 两 个 矿 池 A 和 B， 每 个 有 50% 
的 全 部 控 矿 算 力 。 现 在 假设 B 动 用 了 一 半 的 能 力 (25% 的 总 体 算 
力 ) 来 加 入 矿 池 A 控 矿 ， 然 后 把 所 有 找到 的 有 效 区 块 丢弃 掉 。 我 们 
可 以 推演 ， 在 一 个 简单 的 模型 里 ，B 会 记得 5/9 的 所 有 奖励 ， 大 于 他 


正常 控 矿 时 候 所 获得 的 50% 的 奖励 。 在 这 个 商 单 的 案例 里 ， 动 用 一 
半 的 挖 矿 算 力 去 攻击 矿 池 A 对 矿 池 B 来 说 是 一 个 最 佳 的 策略 。 


这 个 案例 随 痢 矿 池 数量 的 增加 而 变 得 更 加 复杂 。 和 截至 本 书 所 
写 之 时 ， 于 人 弃 区 块 攻击 在 实际 中 还 没有 被 大 范围 观察 到 。 但 长 期 
来 看 可 能 性 还 是 存在 的 ， 像 这 类 攻击 会 对 大 型 矿 池 的 运营 产生 关 
键 影 响 。 


天 励 破 坏 


我 们 设计 这 种 攻击 的 目的 ， 是 让 矿工 们 即使 加 入 了 一 个 矿 池 控 
矿 ， 也 会 缺乏 问 矿 池 管 理 员 提 区 有 效 区 块 的 动力 。 目 前 ， 只 有 矿 池 管 
理 员 可 以 获取 挖 矿 痰 励 ， 因 为 管理 员 要 求 所 有 的 参与 者 在 他 们 控 矿 的 
币 基 交易 中 加 入 一 把 特殊 的 公 钥 。 这 个 公 钥 是 否 被 正确 地 放 入 ， 可 以 
在 提交 近似 区 块 的 时 候 被 很 容易 地 检查 验证 。 矿 池 管 理 员 是 唯一 知道 
私 钥 的 人 ， 因 此 可 以 决定 新 和 铸币 的 走向 。 


但 如 采 我 们 要 求 所 有 的 参与 者 都 知道 私 钥 (这 样 一 来 ， 当 找到 有 
效 区 块 的 时 候 大 家 都 可 以 重新 定义 区 块 奖励 的 去 向 ) 呢 ? 为 了 做 到 这 
一 点 ， 我 们 需要 一 个 解 谈 算 法 ， 每 一 个 解 谜 运算 的 务 试 都 要 求知 道 币 
基 交 易 里 的 私 铀 。 我 们 可 以 把 解 谜 从 “找到 一 个 区 块 ， 其 哈 希 值 低 于 一 
个 特定 的 目标 ? 改 成 "找到 一 个 区 块 ， 这 个 区 块 里 的 数字 签名 的 哈 布 值 
低 于 一 个 特定 的 目标 *。 这 个 数字 签名 必须 要 用 币 基 交易 里 同一 把 公 钠 
来 计算 。 

这 样 的 解 文 算法， 会 给 矿 池 管 理 员 两 个 都 不 可 靠 的 选择 : 他 们 可 
以 把 私 钥 分 发 给 所 有 成 员 ， 如 此 ， 他 们 之 中 任何 一 人 都 可 以 私 目 挪用 
全 部 矿 池 资金 。 另 外 一 个 办 法 征 他 们 可 以 代表 矿 池 成 员 进 行 签名 。 计 


算 一 个 签名 的 计算 量 比 计算 一 个 哈 希 函数 要 大 许多 ， 这 样 一 来 ， 矿 池 
管理 员 会 承担 主要 的 藻 活 与 索 活 ， 所 以 最 好 让 矿 池 管理 员 成 为 一 个 独 
立 的 矿工 。 


不 能 被 外 包 的 挖 矿 的 优 务 


由 于 这 类 解 文 算法 不 能 够 有 效 地 (并 不 是 完全 不 可 能 ) 被 外 包 到 
一 个 不 能 被 信任 的 参与 者 ， 这 殊 使 得 成 立 一 个 由 不 被 信任 的 参与 者 所 
组 成 的 矿 池 变 得 十 分 困难 。 它 可 以 有 效 地 阻止 所 有 的 矿 池 形成 ， 即 便 
征 像 P2Pool 这 样 成 立 一 个 没有 矿 池 管 理 员 的 去 中 心 化 矿 池 。 


存在 如 下 争议 ， 部 嗜 这 类 解 谜 算法 可 能 会 不 可 抑制 地 造成 更 多 的 
中 心 化 ， 而 不 是 更 少 。 因 为 概率 上 较 高 幅度 波动 (找到 有 效 区 块 而 获 
得 奖励 的 概率 问题 ) 会 让 小 矿工 们 不 敢 参 与 挖 矿 ， 剩 下 的 只 会 是 大 型 
挖 矿 团队 。 目 前 ， 虽然 矿 池 表面 上 控制 了 大 量 的 挖 矿 算 力 ， 但 还 是 不 
清楚 如 琳 他 们 想 利用 这 个 优势 来 发 起 攻击 的 话 ， 其 中 许多 成 员 是 否 会 
叛逃。 大 型 挖 矿 矿 池 和 可 以 承受 高 幅度 收入 波动 的 小 矿 池 ， 到 底 哪 个 
风险 更 大 ? 这 是 一 个 未 能 解决 的 问题 。 


设计 一 个 共识 协议 ， 理 想 方 案 钙 小 额度 地 奖励 每 个 找到 低 等 难度 
解 迹 答案 的 矿工 ， 以 “ 目 然 地 ”降低 概率 波动 风险 。 这 束 意 味 闭 矿工 们 
不 需要 组 成 矿 池 ， 同 时 小 矿工 们 还 可 以 参与 控 矿 获 利 。 仅 仅 降低 每 个 
区 块 产生 之 则 的 时 间 间 隔 不 会 起 到 作用 一 一 它 需 要 被 降低 1 000 倍 或 者 
更 多 ， 才 能 够 在 概率 风险 上 与 大 型 挖 矿 矿 池 所 面临 的 情况 相当 。 但 到 
那个 时 候 ， 每 个 区 块 之 间 的 间隔 只 有 不 到 一 秒 ， 陈 旧 区 块 的 数量 会 变 
得 不 可 控制 的 高 。 还 有 一 个 问题 ， 是 否 存 在 男 一 种 共识 协议 ， 可 以 做 
到 在 不 需要 瞬时 广播 所 有 解 谜 结 采 的 情况 下 ， 让 解 谜 运算 变 得 更 加 容 
易 ? 


8.5 权益 证 明和 虚拟 控 矿 


在 结束 本 章 之 前 ， 我 们 讨论 一 下 这 个 想法 : 用 虚拟 控 矿 (virtual 
mining) 来 示 代 计算 力 控 矿 。 虚 拟 控 太古 指 一 组 不 同 的 挖 矿 方法 但 它们 
都 有 一 个 共同 的 特点 一 一 对 参与 的 矿工 只 要 求 少量 的 计算 资源 。 


建立 一 个 封闭 控 矿 系统 


作为 一 个 思想 实验 ， 假 设 比 特 币 或 是 其 他 加 密 数 字 货 币 成 为 全 球 
主要 文 付 手 段 。 矿 工 起 初 会 拥有 一 些 加 密 数 字 货 币 来 购买 控 矿 设备 和 
支付 电 耗 ， 以 此 获取 一 些 新 币 来 作为 挖 矿 的 奖励 ( 见 图 8.3) 。 这 基本 

是 个 消耗 资源 的 过 程 。 


挖 矿 奖励 
0 
画 过 eoo..,/ 
比特 币 网 络 解 谜 方案 挖 矿 机 能 量 、 设 备 物质 世界 


图 8.3 比特 币 挖 矿 的 资源 循环 


一 旦 控 矿 设备 变 成 了 一 种 商品 ， 并 且 电 力也 是 一 种 商品 (本 来 就 
全) ， 没 有 矿工 有 任何 优 田 可 以 更 有 效 地 批 他 们 起 初 拥有 的 加 密 数 学 

货币 转化 成 挖 矿 疾 励 。 除 非 有 细微 的 效能 差距 ， 控 矿 投入 最 多 的 矿工 
将 会 获得 最 大 的 控 太 奖励。 


推动 虚拟 挖 矿 的 基本 问题 是 ， 如 果 我 们 把 挖 矿 设备 和 能 耗 这 一 环 
节省 去 ， 会 产生 什么 结果 ? 毕 竞 ， 这 个 过 程 主要 是 用 来 证 明 谁 在 控 矿 
这 件 事情 上 投入 最 多 。 为 什么 不 简单 地 把 挖 矿 * 算 力 * 按 比例 分 配给 当前 
所 有 的 持 币 人 ? 


回忆 一 下 比特 币 挖 矿 的 初衷 是 在 区 块 链 上 建立 起 一 个 投票 机 制 ， 
有 更 多 算 力 的 矿工 会 得 到 更 多 的 投票 权力 。 因 此 ， 我 们 可 以 设计 一 
个 “投票 系统， 选票 (投票 权力 ) 是 由 每 个 人 所 拥有 的 当前 币 量 所 决定 
Hs 


虚拟 挖 矿 的 优势 


这 个 方法 的 优势 是 显而易见 的 : 它 把 如 图 8.3 中 右边 浪费 资源 的 一 
半 去 控 了 ， 留 下 了 一 个 封闭 的 系统 ， 如 图 8.4 所 示 。 
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图 8.4 虚拟 挖 矿 的 资源 循环 


除了 们 单 化 之 外 ， 这 个 方法 会 大 大 减少 比特 币 对 环境 的 影响 。 它 
\ 会 把 能 耗 降 到 零 ， 因 为 矿工 总 是 会 消耗 一 些 计 算 和 货源 来 和 网 络 通信 


验证 ， 有 一 些 虚 拟 挖 矿 方案 也 要 求 少量 的 挖 矿 计算 力 。 但 总 体 上 ， 比 
特 币 里 绝 大 部 分 的 挖 矿工 作 量 可 以 被 省 去 。 


虚拟 挖 矿 还 可 以 阻止 中 心 化 的 发 展 趋势 。 因 为 没有 硬件， 所 以 也 
不 必 担 忧 有 ASIC 的 问题 。 每 一 个 矿工 控 矿 的 效率 都 和 其 他 人 完全 一 
样 。 任何 虚拟 矿 机 所 用 的 解 谜 算法 都 是 反 ASIC 的 。 


这 可 能 是 虚拟 挖 矿 最 重要 的 一 点 。 虚 拟 挖 矿 可 能 解决 了 我 们 在 讨 
论 反 ASIC 解 谜 算法 时 候 所 遇 到 的 问题 ， 也 束 是 考虑 到 货币 的 长 期 健 
康 ， 矿 工 可 能 不 会 去 投资 控 矿 设备 的 生产 。 任 何 一 个 比特 币 的 持 有 人 
其 实 也 是 这 个 货币 的 利益 相关 者 ， 一 个 强大 的 虚拟 矿工 “比如 持 有 5196 
或 更 多 的 币 ) 是 一 个 非常 大 的 利益 相关 者 。 他 们 有 原动力 来 做 对 整个 
系统 有 利 的 事 ， 因 为 这 样 一 来 他 们 所 持 有 的 币 也 会 增值 。 这 比 “ 矿 工 已 
经 投入 了 大 量 的 挖 矿 设备 ， 且 设备 价值 会 基于 未 来 的 币值 ， 所 以 没有 
人 会 进行 恶意 行为 ”的 说 法 更 有 力 。 

这 束 是 “权益 证 明 ” 这 个 名 字 的 来 源 。 除 了 市 省 挖 矿 设备 和 市 省 能 源 
之 外 ， 可 能 虚拟 挖 矿 的 最 大 动力 ， 来 目 这 个 货币 的 利益 相关 者 有 着 强 
烈 的 意愿 成 为 这 个 系统 的 维护 者 。 


实施 虚拟 挖 矿 : 扩 所 而 


有 许多 种 不 同 的 虚拟 挖 矿 ， 我 们 在 这 里 只 讨论 最 第 见 的 几 种 。 我 
们 要 强调 的 是， 这 些 想法 还 没有 被 广 格 地 用 科学 的 方法 研究 过 ， 也 没 
有 像 比特 币 的 工作 量 证 明 一 样 因为 比特 币 的 普 衣 性 而 经 过 实战 洗礼 。 

我 们 先 看 一 下 在 2012 年 启动 的 扎 后 币 (Peercoin) ， 是 第 一 个 使 


用 权益 证 明 的 另类 币 。 点 点 币 是 工作 量 证 明 与 权益 证 明 的 一 种 混合 
体 ,，“ 拥 有 量 ” 以 “ 币 龄 "为 计价 单位 。 一 个 特定 的 还 没有 被 使 用 交易 的 输 


出 的 币 龄 ， 是 “这 个 输出 里 的 币 量 * 与 “这 个 输出 里 还 没有 被 使 用 过 的 区 
块 数量 ”的 乘积 。 现 在 ， 为 了 控 到 一 个 区 块 ， 点 点 币 的 矿工 也 必须 像 比 
特 币 的 矿工 一 样 去 进行 一 个 SHA-256 的 解 谜 运算 。 但 是 ， 这 个 解 谈 运 算 
的 难度 会 随 着 他 们 想 消耗 多 少 币 龄 调整 ， 消 耗 越 少 难 度 束 越 低 。 为 了 
做 到 这 一 点 ， 这 个 区 块 包 括 一 个 特殊 的 “ 币 拥 有 量 交 易 ” (coinstake 
transaction) ， 在 这 个 交易 里 ， 有 些 交 易 被 用 掉 只 是 为 了 把 它们 的 币 龄 
重 设 成 零 。 这 些 在 币 拥 有 量 交 易 中 被 消耗 的 币 龄 总 和 ， 决 是 了 工作 量 
证 明 解 访 运 算 中 发 现 一 个 有 效 区 块 的 难度 。 


矿工 可 以 在 最 初 用 很 大 的 计算 力 和 一 些 很 少 的 拥有 量 来 控 矿 ， 但 
征 可 以 用 公式 来 设 定 难度 : 当 一 些 币 龄 被 消耗 后 ， 找 到 有 效 区 块 会 变 
得 十 分 容易 。 这 个 运算 型 解 恋 的 效果 主要 是 为 了 傈 证 ， 在 有 两 个 矿工 
笑 试 消耗 同样 大 小 币 龄 的 情形 下 ， 这 个 过 程 仍然 是 随机 的 。 


许多 其 他 的 虚拟 控 矿 男 类 币 方 案 使 用 了 上 略微 不 同 的 设计 ， 包 括 
NxT、BitShares、BlackCoin 和 Reddcoin。 在 这 些 设计 方案 里 ， 一 定数 量 
的 币 被 消耗 用 于 使 运算 型 解 谈 变 得 极为 简单 ， 这 使 得 解 谜 运 算 不 再 是 
挖 矿 过 程 中 最 主要 的 挑战 。 


公共 的 其 他 形式 


有 两 种 混合 模式 值得 探讨 : 


@ 权益 证 明 。 最 简单 的 权益 证 明 模式 是 使 那些 拥有 大 量 币 控 
制 权 的 矿工 控 矿 更 加 容易 。 这 类 似 于 点 点 币 的 币 量 和 币 龄 混合 证 
明 ， 只 古 在 这 个 模式 中 不 考虑 币 龄 。 这 个 模式 的 务 处 是 ， 不 像 上 后 所 
币 那 样 每 次 成 功 获 得 有 效 区 块 之 后 重 置 币 龄 ， 最 有 钱 的 参与 者 总 是 
可 以 最 容易 地 控 矿 。 


@ 储量 证 明 。 在 这 个 模式 里 ， 当 一 个 矿工 用 一 些 货币 来 铸造 
一 个 区 块 的 时 候 ， 这 些 货币 针对 一 定数 量 的 区 块 被 冻结 。 这 可 以 被 
想象 成 币 龄 的 一 个 镜像 ， 这 个 系统 奖励 那些 希望 在 未 来 一 段 时 间 不 
消费 的 矿工 ， 而 不 是 那些 在 过 去 一 段 时 间 内 不 使 用 货币 的 矿工 。 在 
上 述 两 种 情况 下 ， 矿 工 的 收入 来 自 因 为 不 能 使 用 货币 去 做 其 他 事情 
的 机 会 成 本 。 


无 利害 关系 问题 


虚拟 控 矿 是 科研 的 前 治 领 域 ， 还 有 许多 未 解 的 问题 。 即 使 有 一 些 
加 密 数 子 货 币 已 经 局 动 并 且 使 用 了 虚拟 控 矿 ， 它 们 都 面临 和 比特 币 一 
样 的 压力 ， 即 防御 有 目的 性 的 攻击 者 。 


虚拟 挖 矿 有 一 个 常见 的 漏洞 ， 被 称 为 “无 利害 关系 问题 ” (nothing- 
at-stake problem) 或 者 “股权 粉碎 攻击 ” (stake-grinding attacks) 。 假 设 
一 个 有 着 小 于 50% 的 币 拥 有 量 的 攻击 者 ， 演 试制 造 一 个 有 k 个 区 块 的 分 
又 ， 如 同 我 们 在 前 面 讨 论 过 的 ， 这 样 的 分 又 攻击 有 着 相当 高 的 失败 概 
率 。 在 传统 控 矿 里 ， 一 个 失败 的 攻击 有 着 很 高 的 机 会 成 本 ， 因 为 矿工 
本 可 以 在 控 据 的 过 程 中 赚 得 奖励， 而 不 是 浪费 挖 抉 资源 在 失败 的 攻击 
下 o 


但 在 虚拟 控 矿 里 ， 这 个 机 会 成 本 并 不 存在 。 一 个 矿工 可 以 既 在 当 
前 最 长 的 区 块 链 上 挖 矿 ， 同 时 又 可 以 进行 一 个 创建 分 叉 的 尝试 。 如 果 
分 又 成 功 ， 则 会 消耗 掉 大 量 的 筹码 ， 如 果 失 败 ， 这 个 失败 的 记录 不 会 
出 现在 最 长 的 区 块 链 上 。 因 此 ， 理 性 的 矿工 也 会 不 断 地 尝试 分 又 攻 
击 。 


对 于 这 个 问题 ， 有 一 些 不 同 的 解决 办 法 。 大 多 数 的 虚拟 控 矿 方案 
都 积极 地 使 用 检查 点 来 防御 长 分 又 攻击 。 但 是 正如 之 前 讨论 过 的 ， 这 
有 点 和 去 中 心 化 的 共识 协议 概念 背道而驰 了 。 


有 


当 你 下 载 比 特 币 核心 钱包 软件 时 ， 有 几 个 硬 编码 的 检查 点 ， 或 
者 过 去 区 块 的 拼接 。 这 样 做 的 根本 目的 是 让 首次 下 载 区 块 链 更 加 顺 
利 。 如 果 没 有 检查 点 ， 其 他 节点 可 以 使 用 伪造 的 (但 有 效 的 ) 区 块 
和 分 文 来 冲击 你 。 对 于 当今 的 攻击 者 来 说 ， 在 低 区 块 高 度 产 生 有 效 
的 文 古 解 决 方案 是 非常 位 单 的 ， 那 束 是 接近 起 源 区 块 ， 因 为 初始 阶 
段 的 难度 相对 较 低 。 你 最 终 会 发 现 这 些 区 块 不 在 最 长 的 有 效 分 文 上 
(更 精确 地 来 说 ， 不 在 最 高 总 体 难度 的 有 效 分 文 上 ) ， 但 你 必须 少 
费 资 源 来 做 这 件 事情 。 

有 些 男 类 和 市， 特别 是 虚拟 控 太 计划， 已 经 采取 了 以 检查 上 后 作为 
防御 分 文 攻击 的 强大 形态 。 克 点 会 从 指定 检查 节点 收 到 检查 点 的 党 
规 更 新 ， 该 更 新 由 指定 的 私 钥 签 发 。 世 点 会 放弃 与 检查 点 冲突 的 分 
文 。 这 种 机 制 使 得 检查 点 的 运作 方 ， 尤 其 是 另类 币 的 创建 者 ， 能 从 
分 又 和 *“ 转 回 ” 区 块 中 选择 胜出 着 。 这 种 设计 非常 有 趣 ， 但 是 已 不 生 
去 中 心 化 一 致 认可 的 协议 。 


以 太 坊 (Ethereum， 一 个 在 2015 年 启动 的 男 类 币 ， 我 们 将 在 第 10 章 
中 详细 讨论 ) ， 建 议 了 一 个 称 为 *Slasher” 的 方法 来 惩罚 党 试 进行 分 又 攻 
击 的 矿工 。 在 Slasher 方 案 中 ， 使 用 筹码 去 挖 矿 需 要 用 私 钥 对 当前 区 块 
进行 釜 名 ， 来 应 对 那些 进行 作 鄞 的 交易 ， 如 采矿 工 曾 经 使 用 相同 的 筹 
码 去 签署 两 个 不 连续 的 区 块 链 (不 是 前 后 关系 ) ，Slasher 人 允许 其 他 矿 
工 可 以 在 区 块 链 上 输入 这 两 个 釜 名 作为 作 束 的 证 据 ， 并 且 拿 走 一 部 分 
敌 码 以 作为 奖励 。 虽 然 看 起 来 这 个 方案 非常 有 效 ， 但 是 协议 本 吴 非 党 
复杂 ， 还 没有 被 实际 部 车。 


一 个 终极 的 防御 攻击 方式 可 能 存在 ， 束 如同 我 们 在 传统 挖 矿 方 案 
中 看 到 的 ， 矿 工 可 以 人 简单 地 没有 足够 的 动力 去 进行 攻击 ， 因 为 即使 攻 
击 成 功 ， 也 会 危害 整个 系统 并 使 得 他 们 所 拥有 的 筹码 贬值 。 


虚拟 挖 矿 的 其 他 轮 上 所 


虚拟 挖 矿 还 有 其 他 两 个 弱点 值得 提 及 。 第 一 ， 在 某 种 形式 的 虚拟 
控 矿 方案 中 ， 即 使 “股权 粉碎 攻击 * 不 存在 ， 也 可 能 使 得 某 些 类 型 的 攻击 
变 得 容易 ， 因 为 控 矿 * 蓄 力 ”(\save up) 是 可 能 的 。 例 如 ， 大 量 的 币 可 
以 被 积 鞭 起 来 ， 直 到 可 以 进行 一 次 剧烈 的 挖 矿 变 化 使 得 分 义 成 为 可 
能 。 即 使 是 某 个 类 似 于 Slasher 这 样 严 禁 同 时 在 两 个 区 块 链 上 控 矿 的 系 
统 上 ， 也 是 可 能 的 。 为 了 防止 这 样 的 攻击 ， 点 点 币 限制 了 币 龄 参数 不 
能 超过 90 天 。 


第 二 ， 如 果 虚 拟 挖 矿 中 的 某 个 矿工 获得 了 51% 的 筹码 ， 他 可 以 通过 
只 在 他 的 区 块 上 控 矿 的 方式 永远 保持 这 个 优势 ， 基 本 上 也 就 意味 着 可 
以 控制 整个 区 块 链 。 如 果 有 新 的 筹码 和 交易 费 从 区 块 奖励 中 产生 ， 那 
个 拥有 51% 的 矿工 也 会 抢 去 这 些 奖励 ， 这 会 让 他 的 筹码 慢 慢 接近 
100%。 在 传统 挖 矿 模式 中 ， 即 使 有 一 个 51% 的 矿工 存在 ， 永 远 可 能 存 
在 拥有 更 大 算 力 和 更 低能 耗 的 其 他 矿工 出 现 ， 并 且 会 减少 最 大 矿工 的 
市 场 份额 。 在 虚拟 控 矿 里 ， 很 难 避 人 免 这 个 问题 。 


虚拟 控 矿 有 可 能 真 的 成 功 吗 


在 比特 币 的 主流 社区 里 ， 虚 拟 挖 矿 是 有 争议 的 。 有 一 个 说 法 是 ， 
系统 的 安全 性 必须 建立 在 真正 的 货源 消耗 上 ， 也 就 是 动用 真正 的 电脑 
硬件 和 消耗 电能 去 进行 解 文 运算 。 如 果 这 个 理论 成 立 ， 工 作 量 证 明 上 


的 能 源 耗 费 可 以 被 看 成 是 系统 的 安全 费用 。 但 这 个 论点 还 没有 被 证 
明 ， 残 像 虚拟 控 矿 的 安全 性 也 没有 家 证 明 一 样 。 


总 结 来 说 ， 人 们 想 改变 比特 币 挖 矿 解 文 算法 的 很 多 方面 ， 这 也 是 
研究 与 创新 的 重点 区 域 。 到 目前 为 止 ， 还 没有 一 个 替代 方案 具备 理论 
健全 性 和 实用 性 。 例 如 ， 即 使 Scrypt 算 法 在 另类 币 中 很 受 欢 迎 ， 但 是 也 
没有 做 到 真正 的 反 ASIC， 而 且 其 用 途 也 还 不 清楚 。 当 然 ， 礁 代 的 解 谜 
算法 完全 有 可 能 在 未 来 获得 更 大 的 成 功 。 毕 葛 ， 比 特 币 本 身 也 经 历 了 
数 十 年 的 不 断 失 败 的 笑 试 与 发 展 ， 才 最 终 成 为 一 个 既 有 很 好 的 设计 理 
念 双 有 相当 的 实用 性 的 加 密 数 字 货 币 。 


延伸 阅读 


定义 刚性 内 存 功能 和 建议 范本 的 论文 是 : 


Percival, Colin.“ Stronger Key Derivation via Sequential Memory-Hard 
Functions,” 2009. 


您 可 以 通过 如 下 网 址 阅读 : 
https:/www.bsdcan.org/2009/schedule/attachments/87_scrypt.pdt. 
关于 内 存 范围 (memory-bound) 功能 的 早期 论文 包括 : 


Abadi, Martin, Mike Burrows, Mark Manasse, and Ted 
Wobber.“Moderately Hard, Memory-Bound Functions.” ACM Transactions 
on Internet Technology 5(2), 2005. 


Dwork, Cynthia, Andrew Goldberg, and Moni Naor.“On Memory- 
Bound Functions for Fighting Spam.” In Advances in Cryptology—Crypto 
2003 . Berlin: Springer, 2003. 


关于 Cuckoo Cycle proposal 的 研究 包括 : 


Tromp, John.“Cuckoo Cycle: A Memory-Hard Proof-of-Work System.2” 
IACR Cryptology ePrint Archive, 2014. 


您 可 以 通过 以 下 网 址 阅读 : 
https://eprint.iacr.org/2014/059.pdf. 
天 于 永久 币 的 介绍 请 参阅 : 


Miller, Andrew, Ari Juels, Elaine Shi, Bryan Parno, and Justin 
Katz.“Permacoin: Repurposing Bitcoin Work for Data Preservation.”In 
Proceedings of the 2014 IEEE Symposium on Security and Privacy , 2014. 


您 可 以 通过 如 下 网 址 阅读 : 
http://research.microsoft.com/pubs/217984/permacoin.pdf. 
讨论 不 同 的 哈 硕 函数 和 SHA-3 竞 争 的 论文 是 : 


Preneel, Bart.“The First 30 Years of Cryptographic Hash Functions and 
the NIST SHA-3 Competition.” In Topics in Cryptology 一 CIT-RSA,2010 . 
Berlin: Springer 2010. 


天 于 不 可 外 包 谜 题 的 介绍 是 : 


Miller, Andrew, Elaine Shi, Ahmed Kosba, and Jonathan 
Katz.“Nonoutsourceable Scratch-Off Puzzles to Discourage Bitcoin Mining 
Coalitions.” In Proceedings of the 22nd ACM Conference on Computer and 


Communications Security , forthcoming. 


第 9 章 
比特 币 YI 全 


在 前 面 的 章节 里 ， 我 们 展示 了 比特 币 的 技术 基础 架构 和 它 作 为 货 
币 的 机 理 。 现 在 我 们 来 探讨 除了 货币 之 外 ， 比 特 币 可 以 作为 核心 组 成 
部 分 的 其 他 应 用 。 这 些 应 用 ， 有 些 是 直接 利用 了 比特 币 的 当前 特性 ， 
并 未 做 任何 修改 ， 而 更 多 的 则 是 需要 做 一 些微 小 调整 的 。 


我 们 根据 应 用 的 实用 性 和 学 术 上 的 趣味 性 选择 了 下 述 应 用 案例 ， 
尽管 案例 并 不 能 穷 举 ， 但 这 些 关 于 比特 币 运作 的 例子 (或 者 设想 中 的 
运作 模式 ) ， 将 给 您 对 比特 币 新 的 用 途 看 法 带 来 一 些 启示 。 


9.1 比特 币 作 为 一 个 只 能 被 添加 的 记录 


比特 币 古 一 个 只 能 添加 而 不 能 删除 的 记录 。 它 古 一 种 可 以 不 断 添 
加 新 的 数据 ， 但 是 数据 一 旦 被 添加 上 去 ， 束 变 得 不 可 修改 并 且 永 久保 
存 的 数据 结构 。 因 此 ， 通 过 比特 币 ， 我 们 可 以 获得 一 个 时 间 顺 序 : 判 
断 一 个 数据 是 在 男 一 个 数据 之 前 还 是 之 后 被 写 进 了 记录 的 。 这 个 次 序 
征 由 区 块 之 间 的 哈 希 函数 指针 ， 而 不 是 区 块 上 的 时 间 鹤 所 决定 的 ， 
为 时 间 礁 可 以 作假 ， 或 者 是 由 于 矿工 更 改 时 间 玲 的 值 使 其 变 得 更 小 
(更 早 ) ， 或 者 是 矿工 的 计算 机 时 钟 没有 同步 ， 更 或 者 是 由 于 网 络 延 
时 产生 的 差异 。 话 虽 如 此 ， 如 果 一 个 区 块 的 时 间 惟 延 色 了 好 儿 个 小 
时 ， 它 就 会 被 其 他 的 矿工 们 拒绝 。 所 以 时 间 截 还 是 相对 准确 的 。 通 过 
下 面 的 示例 ， 我 们 可 以 看 到 ， 这 些 特性 是 有 实际 用 途 的 。 


安全 时 间 玲 


比特 币 这 种 只 能 被 添加 的 记录 特性 可 以 被 用 来 建立 一 个 安全 时 间 
鹤 (secure timestamping) 系统 。 假 如 ， 想 要 证 明 在 时 间 T 我 们 就 知道 
了 x 的 值 ， 但 并 不 想 披 露 它 的 具体 值 。 只 有 在 未 来 很 长 时 间 后 ， 当 有 可 
能 需要 证 明 我 们 确实 知道 这 个 值 的 时 候 ， 才 有 可 能 需要 去 披露 它 ( 当 
然 ， 如 果 我 们 在 时 间 T 知 道 x 的 值 ， 我 们 在 T 之 后 的 时 间 还 是 知道 这 个 x 
的 值 )。 而 且 我 们 一 旦 证 明了 这 一 点 ， 束 需要 使 这 个 证 据 具 备 永久 
性 。 


在 第 1 草 中 我 们 看 到 ， 可 以 用 哈 希 函数 来 锁定 数据 x。 我 们 不 需要 
公布 x 值 本 喘 ， 取 而 代 之 地 ， 只 需要 在 区 块 链 里 公布 这 个 数据 值 的 哈 希 
函数 H(x)， 即 可 以 来 证 明 我 们 知道 这 个 X 值 。 这 个 哈 希 函数 的 特性 ， 你 


证 了 我 们 不 可 能 再 找到 男 外 一 个 数据 y， 其 哈 希 函数 结果 与 x 的 哈 希 玉 
数 结 采 一 致 ， 也 丈 是 说 ， 当 yzx 时 ，H(COJ=H(Oy) 是 不 存在 的 。 我 们 还 可 以 
依赖 哈 希 画 数 另 外 一 个 常用 的 特性 : 只 要 x 本 身 具 备 比 较 高 的 最 小 信 
息 炉 分 布 特性 (distribution with high min-entropy) ,也 就 是 说 ，x 是 不 
可 预测 的 ， 那 么 x 的 哈 希 函数 结果 不 会 透露 天 于 x 的 任何 信息 。 如 果 x 本 
和 喘 没有 这 种 不 可 预测 的 特性 ， 束 像 我 们 在 第 1 章 中 探讨 的 ， 我 们 可 以 选 
择 一 个 有 较 高 的 最 小 信息 入 分 布 的 随机 数 r 和 x 组 合 签名 ， 然 后 用 H(r|x) 
作为 对 外 公布 的 一 个 数值 约定 。 


这 个 设想 的 核心 束 古 ， 我 们 在 时 间 点 T 只 辣 外 公布 哈 希 函数 
H(r|x)， 然 后 在 之 后 的 某 个 时 间 点 来 公布 r 和 x。 任 何人 看 到 这 个 只 能 做 
增 量 的 记录 ， 都 会 相信 在 我 们 发 表 H(r|x) 的 时 候 我 们 一 定 知 道 x， 因 为 
没有 除 此 之 外 的 其 他 方法 可 以 让 我 们 产生 那些 数据 。 


时 间 鹤 的 应 用 


这 个 安全 时 间 玲 到 砌 有 什么 用 途 呢 ? 一 个 可 能 的 应 用 就 是 可 以 用 
来 证 明 创 意 的 优先 性 。 假 设 我 们 想 证 明 ， 申 请 专利 的 一 些 创意 点 子 早 
就 在 我 们 头脑 里 存在 。 我 们 可 以 在 产生 创意 的 第 一 时 间 ， 就 将 设计 文 
档 或 者 示意 图 草稿 在 区 块 链 里 用 哈 希 函数 发 表 出 来 ， 但 不 会 同 任何 人 
泄露 这 个 创意 的 具体 内 容 。 之 后 ， 当 我 们 提交 专利 申请 或 是 公布 这 个 
想法 的 时 候 ， 我 们 可 以 将 最 初 的 设计 文档 和 相关 信息 发 表 出 来 ， 任 何 
人 都 可 以 查证 这 些 文件 的 函数 时 间 玲 ， 来 证 实 我 们 在 这 之 前 ， 也 束 是 
我 们 发 布设 计 文 档 的 哈 硕 函数 约定 的 时 候 ， 就 已 经 有 了 这 个 创意 《证 
明 我 们 对 这 个 创意 的 时 间 上 优先 所 有 权 ) 。 


我 们 还 可 以 用 同样 的 方法 来 证 明 ， 其 他 人 收 到 过 我 们 发 给 他 们 的 
信息 。 假 设 爱丽 丝 雇 用 鲍 劲 去 做 一 个 编程 的 工作 一 一 他 们 之 间 的 合同 
规定 ， 鲍 勃 必须 在 一 定 的 时 间 内 将 他 所 做 的 工作 内 容 提交 给 爱丽 丝 。 


双方 都 想 要 获得 一 个 保证 ， 如 采 将 来 对 相关 工作 内 容 有 争议 ， 比 如 鲁 
勃 是 否 按时 提交 程序 或 者 他 提交 的 内 容 是 否 满足 合同 要 求 ， 双 方 都 硕 
望 可 以 有 相关 的 事实 去 证 明 。 为 了 确保 这 一 点 ， 他 们 可 以 互相 协商 ， 
将 鲍 芝 提交 的 工作 内 容 共同 签名 后 ， 再 在 区 块 链 上 发 表 它 的 哈 硕 图 
数 。 任 何 一 方 如 琳 对 提交 的 时 间或 者 内 容 撤 诉 ， 男 一 方 可 以 通过 披露 
哈 希 函数 的 输入 来 重 现 当时 发 表 的 内 容 ， 来 证 明 对 方 是 错 的 (比如 在 
EE) 


安全 时 间 惟 功能 还 有 许多 其 他 有 意思 的 应 用 。 有 一 种 完全 公 钥 签 
名 方案 ， 被 称 为 盖 伊 :福克斯 签名 方案 (Guy Fawkes signature 
scheme) ， 相 比较 通常 的 公 角 签名， 只 是 利用 了 哈 希 函数 和 只 能 做 增 
量 记录 的 记录 特性 ， 而 不 需要 任何 重量 级 的 加 密 算 法 。 


对 未 来 预测 证 明 的 攻击 


我 们 目前 无 法 仅仅 用 时 间 惟 束 证 明 对 未 来 的 准确 预测 ， 能 对 未 来 
进行 预测 (dlairooyance) ， 当 然 非常 好 。 而 且 从 表面 上 看 ， 这 好 像 可 
以 做 到 。 在 一 个 事件 发 生 之 前 (比如 一 个 体育 比赛 或 是 选举 ) 发 表 一 
个 对 结果 的 预言 ， 然 后 在 事件 发 生 之 后 ， 再 证 明 在 之 前 就 已 经 预测 到 
了 。 但 这 个 方法 是 否 真 正 可 行 ? 


在 2014 年 下 半年 的 世界 杯 决赛 阶段 ， 有 人 想 用 这 个 办 法 来 “证 明 ” 世 

界 杯 的 组 织 方 国际 足 联 (Federation Internationale de Football 
Association， 简 称 FIFA) 在 搞 腐 败 。 当 时 有 个 推 特 账 号 ， 由 于 在 一 些 重 
要 比赛 之 前 就 可 以 准确 地 预测 到 这 些 比赛 的 结果 ， 因 而 被 广 受 关注 。 
比如 ， 该 账号 准确 地 预测 到 德国 队 会 在 加 时 赛 取 胜 并 且 马 里 奥 . 格 策 
(Mario G6tze) 会 进 球 。 这 看 起 来 可 以 证 明 ， 要 么 是 微 博 主人 有 预知 
未 来 的 能 力 ， 要 么 是 比赛 被 操纵 了 。 然 而 事实 上 ， 这 个 博 主 只 是 在 比 
赛 前 发 布 了 所 有 可 能 发 生 的 事件 ， 比 如 ， 对 于 所 有 的 参赛 球员 ， 都 有 


一 条 关于 他 会 进 球 的 微 博 ， 以 及 对 于 每 一 种 可 能 的 最 终 比 分 ， 都 有 一 
条 相关 的 微 博 等 ( 见 图 9.1) ， 然 后 在 比赛 结束 之 前 ， 博 主 删 除了 所 有 
那些 不 准确 的 预测 ， 只 留 下 那些 准确 的 “预测 ”。 


FIFA Corruption @fifndhs 
Germany will win at ET 
只 17hoursago «Reply tyRetweet 不 Favorite 只 12K more 


FIFA Corruption @fifndhs 
Argentina will win in penalties 
等 17 hours ago Reply Retweet 认 Favorite 


FIFA Corruption @fifndhs 
Gotze will score 


D17hoursago «Reply tyRetweet 不 Favorite O14K more 


FIFA Corruption @fifndhs 
There will be a goal in the second half of ET 
等 17 hours ago Reply tyRetweet 站 Favorite O12K more 


FIFA Corruption @fifndhs 
Kroos will score 
等 17 hours ago Reply Retweet 闪 Favorite 


FIFA Corruption @fifndhs 
Lahm will score 
等 17 hours ago © Reply tyRetweet 交 Favorite 


FIFA Corruption @fifndhs 
Palacio will score 
等 17 hours ago Reply tyRetweet 站 Favorite 


图 9.1 试图 对 未 来 进行 预测 


注 : 这 就 是 那个 虚假 的 试图 通过 预测 比赛 结果 来 证明” 世界 杯 决 赛 圈 的 比赛 被 操控 了 的 推 特 账 
。 其 中 第 一 个 和 第 四 个 在 赛 后 被 证 明 是 正确 的 ， 其 他 不 准 的 预测 惑 被 删 掉 了 。 


< 


可 以 用 同样 基础 的 攻击 方法 攻破 任何 安全 时 间 惟 系统 。 你 只 需要 
在 事先 预 埋 下 所 有 的 结果 ， 然 后 最 终 只 披露 那个 正确 的 结果 。 这 就 意 
味 着 如 果 你 想 证 明 你 有 预测 能 力 ， 就 必须 去 证 明 你 做 且 只 做 了 一 个 预 
测 结 末 ， 而 不 生 多 个 预测 。 但 如 果 你 想 基 于 哈 希 函数 揭示 结 末 ， 有 很 
难 实现 的 ， 尤 其 是 在 比特 币 的 区 块 链 上 ， 因 为 安全 时 间 惟 系统 并 不 将 
承诺 与 任何 个 人 身份 识别 相关 联 。 如 末 你 不 揭示 它们 ， 束 会 很 容易 公 
布 很 多 种 承诺 ， 而 那些 你 从 未 揭示 的 承诺 很 难 轻易 退 漳 到 你 。 


过 时 的 安全 时 间 鹤 


这 里 介绍 一 个 简单 的 低 科技 含 量 的 安全 时 间 玲 方案 : 通过 刊登 广 
告 ， 你 可 以 在 一 份 报纸 或 者 其 他 媒体 上 有 登 出 你 预测 结果 的 哈 硕 函数 
值 ， 相 关 的 旧 报纸 杂 志 会 被 傈 存在 图 书馆 里 或 者 在 线 备 份 。 这 种 方法 
可 以 提供 较 高 程度 的 保证 ， 证 明 你 在 报纸 发 出 的 当天 就 已 经 知道 这 个 
结果 了 。 以 后 ， 当 你 想 要 披露 你 预测 的 结 来 时 ， 你 可 以 在 同一 个 报纸 


上 刊登 第 二 份 公告 。 


比特 币 里 的 安全 时 间 鹤 


如 采 我 们 想 用 比特 币 而 不 是 报纸 来 实现 时 间 戳 的 功能 ， 我 们 应 该 
在 哪里 放置 约定 的 哈 硕 值 ? 是 在 交易 中 的 某 个 环 入 ， 还 是 直接 在 一 个 
区 块 里 ? 


人 们 想 出 来 的 第 一 个 也 是 最 简单 的 解决 办 法 是 ， 和 直接 把 钱 打 到 数 
据 的 哈 希 函数 值 ， 而 不 是 公共 钥 古 的 函数 值 。 由 于 你 不 知道 对 应 地 址 


的 私 钥 ， 这 样 做 会 “消耗 ?这 些 币 ， 让 它们 销毁 掉 ， 并 且 永 不 能 被 利用 。 
为 了 降低 成 本 ， 你 可 能 需要 发 送 微量 的 币值 ， 比 如 1 聪 (satoshi， 
0.0000001 个 比特 币 ， 这 是 比特 币 的 最 小 交易 额 ) 。 


这 个 方法 昌 然 很 简单 ， 但 消耗 比特 币 的 做 法 不 讨 人 喜欢 《即使 和 
交易 费 相 比 ， 这 种 被 消耗 的 比特 币 量 级 可 以 忽略 不 计 ) 。 更 大 的 问题 
征 ， 因 为 比特 币 矿 工 不 知道 这 些 交 易 开 文 是 永远 不 可 用 的 ， 他 们 会 永 
远 地 追 踪 下 去 。 因 此 整个 比特 币 社区 对 这 个 方法 都 不 太 感 冒 。 


另 一 个 较为 先进 的 被 称 为 承诺 币 (CommitCoin) 的 方法 ， 是 将 你 的 
数据 编码 进 私 钥 里 。 第 1 章 中 曾经 提 到 过 : “使 用 ECDSA 时 ， 确 保 随机 
性 民 好 来 源 至 关 重 要 ， 因 为 不 恨 来 产 将 可 能 导致 密 钥 信息 的 泄露 。 这 
一 点 不 难 理解 ， 如 条 你 使 用 了 不 民 随 机 源 来 生成 密 钥 ， 那 么 该 密 钥 束 
可 能 不 安全 。 但 是 ECDSA 的 古怪 就 在于， 即使 你 仅仅 只 是 在 生成 签名 
时 使 用 了 不 良 随机 源 ， 而 你 使 用 的 密 钥 完美 无 缺 ， 你 的 个 人 密 钥 还 是 
可 能 会 被 泄露 。” 


承诺 币 利 用 了 这 个 特性 。 我 们 生成 一 个 新 的 私 钥 把 我 们 的 数据 约 
定 进行 编码 ， 并 对 应 地 生成 一 个 公 钥 。 然 后 我 们 会 发 送 一 个 微小 金额 
的 交易 (比如 2 000 聪 ) 到 那个 地 址 ， 随 后 再 发 送 两 笔 每 次 1 000 陪 的 交 
易 回 来 。 最 重要 的 是 ， 当 发 送 回来 的 时 候 ， 我 们 会 用 同样 的 随机 源 来 
对 两 次 交易 进行 签名 。 这 样 ， 任 何人 在 区 块 链 里 计算 包含 被 封装 的 数 
据 约定 的 私 钥 时 ， 必 须 使 用 两 个 签名 。 


比 起 把 数据 约定 编码 到 公 钥 的 方法 ， 承 诸 币 避免 了 消耗 额外 的 比 
等 币 ， 而 且 矿 工 不 再 会 一 直 妃 踩 一 个 永久 不 能 再 被 使 用 的 文 出 。 不 过 


sD 


个 能 被 再 次 使 用 的 葵 出 


一 直到 2015 年 ， 比 特 币 实行 时 间 戳 的 办 法 是 用 一 个 OP_RETURN 的 
交易 ， 这 个 交易 的 输出 可 以 被 证 明 ， 但 不 能 被 二 次 使 用 〈 见 图 9.2) 。 
这 个 OP_RETURN 指 令 会 立刻 返回 一 个 错误 代码 让 这 个 脚本 永远 不 能 成 
功 地 执行 ， 这 样 一 来 ， 所 封 效 的 数据 束 被 名 上 略 了 。 就 像 我 们 在 第 3 昔 看 
到 的 ， 这 既 可 以 用 做 消耗 证 明 ， 也 可 以 用 来 编码 任意 数据 。 到 2015 
年 ，OP_RETURN 人 允许 输出 80 个 字 市 的 数据 ， 这 对 哈 希 函数 来 说 是 足够 
了 (SHA-256 需 要 32 个 字 节 ) 。 


OP_RETURN <H (data) > 


图 9.2 用 OP_RETURN 指 令 的 时 间 戳 
这 是 一 个 “不 能 被 再 次 使 用 ”的 交易 输出 脚本 ， 中 间 封 装 了 一 个 数据 约定 。 


这 个 方法 “ 挤 出 了 ?在 没有 被 使 用 过 交易 文 出 里 的 "水 分 ”， 因 为 矿工 
会 精简 OP_RETURN 里 的 支出 。 这 个 数据 约定 的 花费 其 实 就 是 一 个 交易 
费 。 在 整个 2015 年 ， 一 个 典型 的 交易 费 通 常 小 于 1 美 分 。 这 个 交易 费 可 
以 分 摊 在 针对 多 个 数据 的 一 个 约定 上 ， 从 而 使 得 成 本 更 低 。 在 2015 年 
年 术 ， 已 经 有 几 个 网 站 在 做 这 些 服务 。 它 们 收集 不 同 用 户 的 一 组 数 
据 ， 把 这 些 数据 封 疼 到 一 个 梅 元 尔 树 中 ， 然 后 发 布 一 个 包含 了 这 个 梅 
殉 尔 树 树 根 数据 中 不 能 被 再 次 使 用 的 交易 文 出 。 这 种 做 法 束 好 比 ， 把 
当天 需要 实行 时 间 戳 的 所 有 用 户 数据 封装 到 了 一 个 数据 约定 里 。 


非法 内 容 


区 块 链 随 意 封 装 数据 的 特性 也 有 不 好 的 地 方 ， 可 能 会 被 某 些 人 恶 
意 使 用 。 在 大 多 数 国 家 ， 有 些 内 容 ， 尤 其 如 儿童 色情 ， 它 的 制作 和 传 
播 都 是 非法 的 ， 并 且 会 伴随 非常 严厉 的 处 加。 和 著作权 法 也 严格 规定 了 
某 些 内 容 的 传播 。 


当然 ， 不 少 人 已 经 尝试 这 样 做 去 “危害 ”或 者 扰乱 比特 币 社 区 。 比 
如 ， 有 报道 称 有 部 分 色情 链接 被 公布 在 比特 币 的 区 块 链 上 。 这 些 害 群 
之 马 的 目的 ， 吏 是 让 下 载 比 特 币 区 块 链 到 个 人 硬盘 并 且 运 行 完全 有 效 
点 的 行为 变 得 很 危险 ， 这 也 意味 着 你 有 可 能 存储 和 传播 了 这 些 非 法 
的 信息 。 


然而 ， 截 至 目前 ， 还 没有 好 的 办 法 来 阻止 这 种 写 入 任意 数据 到 比 
特 币 区 块 链 的 行为 ， 即 使 我 们 用 P2SH ( 文 付 给 脚本 的 哈 希 值 ) 来 防止 
恶意 攻击 行为 ， 也 只 不 过 是 使 交易 多 人 花 些 费用 而 已 ， 无 法 完全 阻止 这 
种 行为 。 


好 在 法 律 不 是 计算 机 算法 ， 笑 试用 技术 的 手段 对 法 律 进行 “黑客 攻 
击 ” 虽 然 很 话 人 ， 但 并 不 容易 。 法 律 是 需要 人 类 来 解释 的 ， 并 融合 了 其 
他 因素 ， 比 如 我 们 的 意图 。 以 美国 联邦 法 案 2252 号 为 例 ， 其 中 在 描述 
有 关 拥 有 、 分 发 传播 和 接收 儿 重 色情 制品 的 非法 行为 时 ， 使 用 的 措辞 
就 用 了 “明知 故 犯 * 这 样 包含 了 意图 的 关键 词 。 


男 外 一 个 值得 注意 的 是 ， 根 据 上 面 我 们 讨论 过 的 字 市 大 小 的 限 
制 ， 图 片 数 据 〈 除 非 是 非常 小 的 图 片 ) 不 能 直接 被 写 在 区 块 链 的 数据 
块 中 ， 这 些 数据 要 么 被 存放 在 只 在 区 块 链 中 保存 相应 链接 的 外 部 数据 
库 中 ， 要 么 是 用 一 种 见长 的 办 法 封装 在 多 个 交易 之 中 。 最 终 的 结果 就 
征 ， 大 多 数 比 特 币 用 户 都 没有 能 力 在 交易 中 直接 解码 并 查看 数据 ， 更 
不 用 说 解码 并 得 看 跨越 多 个 交易 的 数据 了 。 


依附 在 比特 币 上 的 附 看 币 


从 好 的 一 方面 来 说 ， 因 为 我 们 可 以 把 任何 数据 都 写 进 比特 币 的 区 
块 ， 从 而 在 比特 币 的 系统 之 上 建立 起 一 个 全 新 的 货币 系统 ， 而 不 需要 
开发 一 个 新 的 共识 机 制 。 我 们 只 需要 简单 地 把 比特 币 用 作 一 个 只 能 被 


添加 的 记录 ， 然 后 把 我 们 开发 新 币 所 需要 的 所 有 数据 写 进 比特 币 的 区 
块 链 。 我 们 称 这 种 方法 为 一 个 依附 在 比特 币 上 的 “附着 币 ” (overlay 
currencies) 。 比 特 币 成 为 一 个 底层 基础 架构 ， 所 有 附着 币 的 数据 ， 通 
过 以 不 可 消费 的 交易 文 出 的 方式 写 进 比特 币 的 区 块 链 。 


当然 ， 比 特 币 的 矿工 不 会 验证 你 写 进 区 块 链 的 数据 ， 因 为 他 们 不 
知道 也 并 不 关心 这 些 数据 在 你 所 定义 的 新 的 货币 体系 里 是 否 正 当 有 
效 。 只 要 你 肯 付 交易 费 ， 任 何人 都 可 以 写 任 何 东 西 。 不 同 的 是 ， 你 必 
须 自 己 开 发 更 加 复杂 的 逻辑 来 验证 新 货币 体系 里 的 交易 ， 然 后 在 每 个 
收发 这 种 新 币 的 客户 端 (也 就 是 钱包 软件 都 必须 有 这 套 逻 辑 。 


举例 来 说 ， 一 个 附着 币 的 矿工 不 能 再 拒绝 双重 文 付 的 交易 。 相 
反 ， 每 个 附着 币 的 用 户 必 须 检 查 区 块 链 里 的 历史 记录 。 如 果 有 人 壬 试 
重复 支付 这 个 币 (已 经 被 用 过 一 次 了 ) ， 那 样 第 二 次 的 交易 就 应 该 被 
直接 名 略 。 因 为 这 个 缘故 ， 在 附着 币 里 没有 一 个 轻 量 级 的 SPV 客 户 端 。 


合约 币 (Counterparty) 是 其 中 一 种 比较 优秀 的 附着 币 ， 所 有 合约 
币 的 交易 都 被 写 入 比特 币 的 区 块 链 ， 在 2014 年 ， 大 约 有 0.59%~1% 的 比 
特 币 交易 携带 了 合约 币 的 数据 。 同 时 它 支持 的 功能 也 比比 特 币 更 多 、 
更 丰富 ， 因 为 合约 币 不 需要 开发 新 的 共识 机 制 ， 而 比特 币 的 矿工 也 不 
需要 了 解 合约 币 的 规则 ， 合 约 币 的 开发 者 可 以 集中 精力 开发 一 些 有 趣 
的 功能 ， 比 如 智能 合约 、 用 户 目 定义 货币 等 。 合 约 币 的 API 也 比比 特 币 
的 API 丰 富 很 多 ， 因 为 比特 币 的 矿工 不 需要 理解 或 者 是 批准 这 些 API 的 
开发 。 


不 需要 开发 新 的 共识 机 制 就 可 以 创造 一 个 新 的 数 子 货币 ， 这 种 可 
能 性 是 十 分 诱 人 的 。 你 甚至 不 需要 去 鼓励 新 矿工 们 来 加 入 你 的 系统 ， 
也 不 需要 去 改变 比特 币 就 可 以 增加 新 的 功能 特性 。 但 是 ， 这 种 系统 还 
征 依 赖 于 比特 币 的 ， 比 如 ， 这 些 附 春 币 的 交易 费 规则 束 受 制 于 比特 
币 。 另 外 ， 由 于 附着 币 上 的 节点 可 能 需要 处 理 大 量 的 数据 ， 而 比特 币 
不 会 帮 你 去 过 滤 这 种 交易 ， 这 种 方法 也 有 可 能 是 低 效率 的 。 


9.2 比特 币 作为 一 个 < 智能 资产 * 


我 们 现在 来 探讨 一 下 ， 除 了 货币 功能 ， 比 特 币 乎 台 的 其 他 特性 。 


我 们 在 前 面 第 6 章 中 谈 到 ， 你 可 以 简单 地 通过 跟踪 交易 图 谐 ， 就 可 
以 在 比特 币 系 统 里 妃 踩 一 个 币 的 所 有 权 。 请 记 住 这 一 点 : 没有 一 个 具 
体 意义 上 的 比特 “ 币 *， 只 有 未 消费 的 文 出 ， 我 们 把 它们 叫 作 币 。 每 个 比 
特 币 都 有 一 个 历史 记录 ， 任 何人 都 可 以 在 区 块 链 里 查询 到 。 一 个 币 的 
历史 记录 可 以 奶 调 到 一 个 或 多 个 原始 交易 ， 这 些 原 始 区 易 标志 看 这 个 
比特 币 的 诞生 。 正 如 我 们 之 前 讨论 过 的 ， 在 比特 币 里 ， 匿 名 性 其 实 是 
个 伪 合 题 ， 因 为 你 可 以 通过 这 个 方法 去 妃 踩 比特 币 的 所 有 权 。 


可 互 换 性 (fungibility) 


比特 币 的 这 个 特征 让 我 们 发 现 了 它 的 一 个 有 趣 的 现象 ， 比特 币 
不 年 可 互 换 的 。 在 经 济 学 中 ， 一 个 具备 可 替代 性 的 商品 是 指 所 有 的 
个 体 是 相同 的 ， 然 后 可 以 互相 替换 。 比 如 黄金 束 是 可 以 互 换 的 ,一 
发 司 纯 金 可 以 和 男 一 如 司 纯 金 互 换 (因为 它们 之 间 没 有 任何 差 
别 ) 。 但 是 比特 币 不 一 样 ， 每 个 比特 币 都 是 独一无二 的 ， 因 为 每 一 
个 比特 币 都 有 着 上 自己 独特 的 历史 记录 。 


在 很 多 场景 下 ， 不 同 的 历史 记录 可 能 不 会 有 什么 夺 异 ， 但 是 如 
果 特 定 的 历史 记录 对 某 些 人 比较 有 意义 ， 那 么 在 你 和 他 们 交易 的 时 
候 ， 你 的 一 个 比特 币 和 他 们 的 一 个 比特 币 就 不 一 样 。 可 能 有 些 人 不 
愿意 用 他 的 比特 币 来 和 你 交换 ， 可 能 因为 他 更 喜欢 他 的 比特 币 的 历 


史记 录 ， 例 如 ， 部 分 重视 昌 币 价值 的 收藏 家 们 ， 可 能 觉得 从 创 世 区 
块 里 造 出 的 币 有 着 特殊 的 价值 。 


智能 资产 


比特 币 的 这 个 可 退 济 性 特性 有 什么 作用 吗 ? 我 们 已 经 看 到 它 可 能 
会 危害 比特 币 的 匿名 性 。 接 下 来 ,我们 要 看 一 下 为 什么 比特 币 的 历史 
记分 人 局 


让 我 们 先 思考 一 下 ， 怎 样 让 一 个 普通 的 线 下 的 物理 货币 有 意义 ? 
假设 我 们 想 要 在 物理 货币 中 加 载 一 个 元 数据 ， 事 实 上 已 经 有 人 在 这 么 
做 了 。 例 如 ， 在 纸币 上 涂 些 文字 ， 通 和 是 一 个 笑话 或 考生 一 种 "政治 宣 
言 ”。 但 这 么 做 纯粹 为 了 好 玩 ， 并 不 影响 纸币 的 价值 。 


但 如 采 我 们 可 以 把 证 实 过 的 元 数据 “条 ?在 我 们 的 货币 上 ， 而 这 些 元 
数据 不 是 轻易 束 可 以 复制 的 ， 又 会 有 什么 结 来 呢 ? 有 一 个 做 法 束 古 把 
加 密 签 名 包含 在 元 数据 内 ， 然 后 把 这 个 元 数据 和 钞票 上 的 序列 号 进行 
绑 定 。 


但 这 又 有 什么 用 呢 ? 比如 一 个 棒球 队 ， 如 采 想 用 纸币 作为 门票 ， 
那么 采用 这 个 做 法 ， 他 们 束 不 需要 花费 大 量 精力 去 印 制 门票 ， 也 不 用 
担心 有 人 会 去 伪造 门票 。 纽 约 扬 基 队 可 以 宣称 一 张 有 特殊 序列 号 的 美 
钞 可 以 作为 一 场 特 殊 比 赛 的 入 场 券 ， 并 且 指 定 到 某 个 特定 的 观 赛 席 。 
这 些 特殊 的 纸币 可 以 采用 与 其 他 门票 同样 的 方式 分 发 ， 比 如 邮寄 给 在 
线 购买 球 票 的 球迷 。 任 何 拥有 这 张 特 殊 纸 币 的 人 ， 都 可 以 插 此 进入 体 
育 馆 ， 并 坐 在 指定 的 座位 上 观看 比赛 。 这 张 纸币 本 喘 就 是 门票 。 


扬 基 队 可 以 用 数字 签名 来 增加 真实 性 。 他 们 可 以 把 特定 的 比赛 日 
期 、 座 位 号 及 钞票 的 序列 号 一 起 做 签名 ， 然 后 把 这 个 签名 印 在 纸币 


上 。 通 过 一 个 简单 的 二 维 码 就 可 以 实现 这 个 功能 (如 图 9.3 所 示 ) 。 球 
馆 可 以 相应 地 维护 一 个 保存 所 有 和 钞票 序列 号 对 应 每 场 比赛 和 座位 号 的 
数据 库 ， 当 你 任 票 入 场 的 时 候 ， 它们 只 需要 根据 你 所 提供 的 二 维 码 去 
数据 库 里 校 验 即 可 ， 也 束 不 需要 在 纸币 上 盖 章 并 印 上 相关 信息 了 


图 9.3 一 张 普通 的 钞票 上 设置 一 些 有 用 的 元 数据 


但 这 样 做 究竟 有 什么 好 处 呢 ? 现在， 纸币 可 以 代表 许多 事物 。 上 
述 例 子 中 ， 纸 币 替代 了 体育 比赛 1] 票 ， 除 此 之 外 ， 纸 币 还 可 以 有 其 他 
许多 应 用 。 为 了 纸币 不 能 被 伪造 ， 政 府 投 入 巨大 ， 我 们 可 以 利用 纸币 
上 已 具备 的 防伪 特性 ， 来 创建 其 他 应 用 。 当 然 ， 这 张 纸币 的 本 身价 值 
也 保存 了 下 来 。 当 一 个 球迷 使 用 了 这 张 门 票 后 ， 这 张 纸 币 还 可 以 正常 
流通 。 当 然 ， 如 果 每 个 人 都 想 在 钞票 上 印 一 个 元 数据 可 能 会 有 问题 ， 
但 我 们 可 以 用 数据 库 的 方法 来 规避 这 个 问题 。 


当然 ， 这 个 新 的 元 数据 是 否 有 意义 ， 完 全 取决 于 我 们 对 数据 发 行 
者 的 信任 。 在 上 面 这 个 例子 中 ， 一 定 有 人 知道 存在 一 个 特定 的 “ 密 钥 ”来 
签发 有 效 的 扬 基 队 球 票 ， 或 者 下 载 整 个 扬 基 队 的 数据 库 以 识别 这 个 特 
殊 纸 币 的 门票 价值 ， 而 对 其 他 人 来 说 ， 这 束 是 一 张 普 I 美元 纸 
币 。 无 论 如 何 ， 这 古 一 个 个 错 的 属性 ， 因为 一 旦 在 这 张 “| ] 票 ”完成 使 全 
之 后 ， 它 又 可 以 作为 普通 纸币 进入 货币 流通 。 


洲 色 币 


在 比特 币 上 ， 我 们 是 否 可 以 采用 类 似 的 数字 化 的 方式 增加 元 数据 
呢 ? 我 们 想 保留 比特 币 好 的 特性 ， 比 如 可 以 在 线 交 易 、 人 快速 结算 ， 以 
及 不 依赖 于 银行 。 


顾名思义 ， 染 色 币 (Colored Coins) 就 是 把 比特 币 * 染 色 ”， 即 使 
这 个 币 几 经 倒 手 ， 我 们 也 可 以 根据 这 个 特殊 的 “颜色 ”来 奶 踩 比特 币 ， 束 
如 同 在 物理 货币 上 印 上 一 个 代表 特殊 数据 元 的 图 章 一 样 。 一 个 “染色 ”的 
比特 币 依然 可 以 作为 一 个 有 效 的 币 ， 只 十 携 市 了 额外 的 元 数据 。 


为 了 做 到 这 一 点 ， 在 一 个 被 称 为 “发 行 * 的 交易 里 ， 我 们 岁入 一 些 额 
外 的 元 数据 来 宣布 条 些 比特 币 具 备 了 特定 的 颜色 。 如 图 9.4 所 示 ， 在 一 
个 交易 的 支出 中 ， 我 们 发 行 了 5 个 “ 浅 灰 色 ” 的 比特 币 ， 同 一 交易 文 出 里 
的 其 他 的 7 个 ， 仍 然 是 普通 的 没有 染色 的 比特 币 。 另 外 一 个 人 ， 可 能 持 
有 一 把 不 同 的 签名 密 钥 ， 在 其 他 的 交易 里 发 行 了 “ 深 灰 色 ” 的 比特 币 。 我 
们 称 之 为 “染色 *"， 是 为 了 便于 直观 理解 。 在 实际 中 ， 所 谓 的 “颜色 ”其 实 
束 是 一 串 二 进 制 的 数字 代码 。 这 里 ， 节 重要 的 一 点 特性 是 ， 同 样 闫 色 
和 同样 价值 的 币 是 完全 相同 的 。 


虽然 我 们 现在 有 不 同 颜 色 的 比特 币 ， 但 依然 可 以 进行 正 节 的 比特 
币 交 易 。 我 们 可 能 碰 到 一 个 交易 ， 它 包含 了 几 个 不 同 输入 的 比特 币 : 
有 些 是 深 永 色 的 ， 有 些 是 浅 灰 色 的 ， 有 些 是 没有 染色 的 ， 并 且 混 在 一 
起 。 同 时 ， 这 个 交易 可 能 会 有 儿 个 文 出 交易 ， 其 中 的 比特 币 保持 着 被 
染色 的 状态 ， 并 且 交 易 中 可 以 添加 一 些 元 数据 ,决定 这 些 比特 币 根 据 
染色 的 不 同 去 往 不 同 的 交易 文 出 ， 我 们 可 以 把 一 个 包 人 4 个 深 灰 色 币 的 
文 出 拆 分 成 两 个 更 小 的 深 灰 色 币 组 合 ， 我 们 也 可 以 把 几 个 深 灰 色 币 组 
合 到 一 个 大 的 深 灰 色 币 交易 中 。 


图 9.4 染色 币 
注 : 交易 图 谱 描述 了 染色 币 的 发 行 和 传播 过 程 。 


开放 质 产 


2015 年 ， 在 比特 币 里 实施 “染色 ”的 、 最 受 欢 迎 的 应 用 方案 是 “开放 
资产 ” (OpenAseet) 。 资 产 通过 一 个 特殊 的 支付 给 脚本 的 哈 希 值 
(P2SH) 的 地 址 来 发 行 。 如 果 你 想 发 行 染 色 币 ， 首 先 要 选择 一 个 P2SH 
地 址 。 任 何 通过 这 个 地 址 转账 的 币 在 进入 的 时 候 都 没有 颜色 ， 在 出 来 
的 时 候 ， 就 会 被 这 个 地 址 分 配 一 个 特定 的 颜色 。 如 果 要 让 这 个 染色 币 
变 得 有 意义 ， 你 还 要 把 这 个 地 址 公布 出 来 。 有 许多 交易 所 会 追踪 这 些 
地 址 来 推断 比特 币 染 上 何 种 颜色 。 由 于 比特 币 可 以 按照 时 间 顺 序 通 过 
多 个 地 址 进行 染色 ， 因 此 ， 一 个 比特 币 被 染 上 多 个 不 同 的 颜色 ， 也 就 
不 足 为 奇 了 。 


一 旦 执行 了 一 个 带 有 染色 币 的 交易 ， 你 就 必须 舰 入 一 个 有 特殊 标 
记 的 支出 ， 束 像 我 们 给 数据 约定 加 时 间 礁 一 样 ， 这 是 一 个 可 证 实 且 不 
可 再 次 消费 的 文 出 。 被 封 痛 在 这 个 有 特殊 标记 的 文 出 里 的 元 数据 ， 详 
细 地 列 出 了 米色 的 输入 是 如 何 分 配 到 不 同 输出 的 。 


正如 我 们 之 前 所 注意 到 的 ， 比 特 币 对 此 完全 兼容 ， 因 为 它 并 不 对 
比特 币 做 任何 改变 ， 矿 工 社区 也 没有 对 这 种 做 法 多 加 干涉 。 无 须 中 央 
权威 授权 ， 它 允许 任何 人 对 货币 进行 各 种 染色 。 只 要 有 人 理解 、 认 可 
并 休 循 你 所 设计 的 染色 币 的 规则 ， 那 么 你 所 发 行 的 染色 币 甚至 有 可 能 
超过 比特 币 本 身 的 价值 。 比 如 ， 如 末 扬 基 队 发 行 染 色 币 ， 并 且 这 些 币 
可 以 作为 球场 入 场 门 票 ， 只 要 球场 的 管理 员 认 可 这 些 染 色 币 的 门票 特 
性 ， 他 们 束 会 让 你 任 票 《染色 币 ) 入 场 。 


这 个 方法 的 第 一 个 缺点 是 ， 我 们 必须 把 不 可 被 再 次 消费 的 标记 文 
出 放 进 每 个 交易 里 。 由 于 每 次 交易 一 个 染色 币 时 ， 都 需要 多 人 花 一 些 交 
易 费 ， 这 会 增加 一 点 成 本 。 第 二 个 缺点 是 ， 矿 工 只 会 验证 作为 底层 基 
础 的 比特 币 的 有 效 性 ， 但 不 会 去 验证 染色 币 的 有 效 性 。 如 果 想 要 验证 
一 个 梁 色 币 的 有 效 性 ， 你 必须 亲 目 去 查证 它 所 有 的 历史 记录 ， 或 是 委 


托 第 三 方 来 帮 你 完成 。 此外， 不 同 于 一 般 的 比特 币 ， 用 户 不 能 使 用 一 
个 轻 量 级 的 和 商 单 文 付 验证 客户 端 。 这 吏 使 得 类 似 手 机 这 种 有 计算 性 能 
限制 的 设备 ， 在 使 用 染色 币 时 变 得 非常 困难 。 


染色 币 的 用 途 和 智能 和 质 产 


一 个 经 常 被 引用 的 智能 资产 用 途 就 是 公司 股票 。 一 个 想 要 用 染色 
币 来 发 行 股票 的 公司 ， 需 要 公布 一 个 发 行 地址 和 规则 ， 通 过 这 个 地 址 
发 行 的 染色 比特 币 代表 了 公司 的 股票 。1 陪 比特 币 就 可 能 代表 公司 的 1 
股 。 股 票 持 有 者 就 可 以 在 区 块 链 上 交易 股票 ， 而 不 需要 一 个 像 股票 交 
易 所 这 样 的 中 央 媒 介 。 当 然 ， 股 票 持 有 者 必须 信任 公司 对 这 种 股权 的 
认可 。 例 如 ， 公 司 承诺 按照 每 股 支付 相应 的 股息 或 者 授权 股东 对 公司 
决策 有 比例 性 的 投票 权利 。 传 统 股票 是 通过 法 律 规定 来 保障 的 ， 截 至 
2015 年 ， 染 色 币 或 者 其 他 基于 区 块 链 的 资产 还 没有 获得 任何 一 个 司法 
机 构 的 认可 。] 


物理 特性 。 另 一 个 可 能 的 用 途 是 ， 染 色 币 可 以 代表 现实 世界 中 的 
一 些 资 产 。 比 如 ， 一 个 染色 币 可 以 代表 一 处 房产 或 者 一 辆 汽车 。 你 所 
拥有 的 一 辆 高 级 轿车 可 以 和 一 个 在 区 块 链 上 的 特定 的 染色 币 关 联 ， 然 
后 持 有 这 个 桨 色 币 的 人 可 以 用 它 来 后 动 和 区 驶 这 辆 车 。 当 你 要 卖 这 辆 
车 的 时 候 ， 或 是 至 少 要 转让 使 用 权 的 时 候 ， 你 只 要 在 区 块 链 里 俏 单 地 
执行 一 个 单 笔 区 易 。 在 第 11 章 ， 我 们 将 探讨 在 技术 上 如 何 实现 这 个 功 
能 ， 以 及 一 些 可 能 会 过 到 的 社会 和 法 律 上 的 障碍 。 但 是 ， 由 于 其 具备 
了 智能 特性 ， 我 们 的 梦想 是 让 现实 世界 中 任何 有 形 资 产 都 可 以 用 染色 
币 来 代表 ， 并 且 资 产 的 转让 或 交易 束 像 比特 币 的 转让 或 交易 一 样 容 
= 


域名 。 最 后 一 个 例子 是 ， 使 用 染色 币 来 完成 一 些 现 有 域名 系统 的 
功能 : 登记 和 转让 拥有 权 ， 关 联 域名 和 了 地 址 。 域 名 市 场 有 许多 有 意思 


的 特征 ， 其 中 之 一 是 它 有 无 数 可 能 的 域名 。 根 据 域名 名 字 有 是 否 方便 记 
忆 以 及 其 他 因素 ， 域 名 有 看 不 同 的 价值 ;同样 ， 对 于 不 同 的 人 ， 一 个 
域名 可 能 有 完全 不 同 的 意义 。 我 们 可 以 用 染色 币 来 处 理 域名 登记 和 其 
他 相关 功能 。 事 实 上 ， 有 一 个 男 类 币 就 是 为 这 个 目的 而 设计 的 ， 叫 作 
域名 币 (Namecoin) ， 我 们 会 在 第 10 间 中 做 具体 讨论 。 每 个 方法 都 有 
自己 的 独特 优势 ， 染 色 币 可 以 获得 比特 币 区 块 链 的 安全 保护 ， 而 男 类 
币 可 以 相对 容易 地 部 署 域名 登记 、 转 让 、 关 联 IP 等 复杂 逻辑 。 


[1] 2016 年 3 月 ， 美 国 在 线 零售 商 Overstock 已 经 获得 了 美国 证 券 交 易 委 员 会 (SEC) 的 批 
准 ， 通 过 比特 币 区 块 链 技术 发 行 100 万 股 新 股 。 一 一 译 者 注 


9.3 多 方 参与 的 安全 博彩 系统 


我 们 现在 来 讨论 一 下 如 何在 比特 币 里 举行 一 个 “ 掷 硬币 ”的 游戏 。 下 
先 看 一 下 ， 在 线 下 是 如 何 建立 这 个 系统 的 。 


爱丽 丝 和 鲍 动 想 要 下 一 个 5 美元 的 赌注 。 他 们 在 下 注 之 前 商量 好 了 
游戏 规则 。 鲍 动 往 空中 殷 一 个 硬币， 爱丽 丝 在 便 币 落地 之 前 叫 
出 * 正 ?或 “反面 。 当 硬币 落地 的 时 候 ， 可 以 立即 判断 谁 是 顾家 。 双 方 都 
知道 这 个 结 采 有 足够 的 随机 性 ， 他 们 之 中 任何 一 人 都 没有 办 法 影响 结 
果 。 


为 了 使 双方 相信 这 个 游戏 是 公平 的 ， 游 戏 的 步 又 顺序 以 及 硬币 的 
等 性 至 关 重 要 。 但 上 述 设 计 有 一 个 缺陷 ， 束 是 他 们 二 人 都 必须 同时 在 
场 ， 而 且 相 信 对 方 会 愿 赌 服输。 在线 上 ， 我 们 也 想 设 计 一 个 同样 “ 公 
平 ”的 博彩 系统 ， 同 时 确 你 输家 也 会 愿 赌 服输 。 


初 看 起 来 ， 这 个 应 用 有 些 古 惨 ， 并 且 有 局 限 性 ， 并 不 值得 深入 研 
究 。 非 常 有 意思 的 是 ， 一 个 基于 比特 币 的 在 线 博 彩 系统 中 本 聪 之 仍 ， 
已 经 被 证 明 非 常 受 欢迎 ， 但 它 并 未 采用 上 述 设计 模式 ， 而 是 依赖 于 某 
一 方 的 信用 ， 但 它 时 不 时 地 宫 括 了 大 部 分 比特 币 网 络 上 的 交易 量 。 


我 们 想 研究 这 种 加 密 数 字 货 币 的 “ 拓 硬 币 ” 系 统 的 真正 原因 是 ， 如 时 
我 们 可 以 据 此 设计 一 个 安全 协议 的 话 ， 也 可 以 用 这 个 技术 来 设计 其 他 
有 趣 和 有 用 的 协议 。 密 码 学 专家 人 研究 “多 方 参与 的 安全 计算 ”也 束 古 说 
多 个 互相 不 信任 的 参与 者 ， 每 个 主体 部 有 各 目的 数据 ， 然 后 纱 合 各 主 
体 的 数据 来 共同 计算 一 个 结果 ， 但 同时 每 个 主体 都 不 想 让 其 他 参与 者 
知道 自己 的 数据 是 什么 。 想象 一 个 类 似 的 场景 ， 一 次 竞价 拍卖 ， 但 没 
有 一 个 可 靠 的 拍卖 行 。 通 常 这 些 计算 需要 被 随机 化 ， 来 打破 互相 之 间 


的 关联 ， 最 后 ， 这 个 计算 的 结 采 是 有 金融 属性 的 ， 并 且 十 不 可 逆转 
的 。 比 如 ,我们 想 要 保证 中 标 首 最 后 会 付款 给 招 卖 物品 的 卖方 ， 更 进 
一 步 ， 让 卖方 的 〈 智 能 ) 资产 目 动 转移 到 中 标 者 的 名 下 ， 甚 至 更 进 一 
步 ， 我 们 还 想 要 息 避 那些 不 守 规 矩 的 人 。 


总 而 言 之 ， 一 个 安全 的 多 方 博彩 系统 虽然 看 起 来 简单 ， 但 其 实 可 
以 用 来 研究 一 个 非 钊 强大 的 系统 模式 : 各 目 都 有 敏感 数据 的 互 不 信任 
的 一 群 参 与 者 ， 共 同 来 执行 一 个 程序 ， 不 仅仅 是 为 了 控制 数据 ， 还 可 
以 控制 与 之 关联 的 资金 。 


在 线 折 人 硬币 系 统 


第 一 个 挑战 是 找到 与 “ 挪 硬 币 ”* 相 对 应 的 线 上 的 相关 方法 。 假 设 我 们 
有 三 个 参与 者 : 爱丽 丝 、 鲍 勃 和 卡 罗 尔 ， 大 家 都 想 以 相同 的 概率 来 选 
择 一 个 号 码 1、2、3。 我 们 党 试 以 下 协议 : 每 个 人 选择 一 个 大 的 随机 
数 ， 比 如 爱丽 丝 选 x、 鲍 盈 选 y、 卡 罗 尔 选 z， 然 后 互相 告知 各 目的 随机 
数 ， 并 共同 计算 结果 (x+y+z)%3。 


如 果 他 们 都 是 完全 独立 地 选择 随机 数 的 话 ， 这 个 方法 是 可 行 的 。 
但 请 记 住 ， 这 十 在 互联 网 上 ， 没 有 办 法 可 以 限制 他 们 绝对 地 “同时 ”送出 
数据 。 爱 丽 丝 可 能 会 等 到 鲍 劲 和 卡 多 和 尔 送出 随机 数 之 后 再 发 布 她 的 数 
据 。 这 样 一 来 ， 她 可 以 轻易 地 操纵 这 个 计算 的 结果 。 我 们 没有 办 法 设 
计 出 一 个 数据 交换 协议 ， 它 可 以 让 大 家 都 相信 没有 人 会 作 兹 。 


为 了 解决 这 个 问题 ， 我 们 还 是 要 回 到 函数 约定 。 甫 先 ， 每 一 个 人 
选 一 个 大 的 随机 数 ， 并 发 布 它 的 哈 希 函数 值 ， 然 后 ， 每 个 人 披露 各 日 
所 选 的 数字 ; 接着 ， 其 他 两 个 人 查证 这 个 被 披露 的 函数 值 和 在 第 一 步 
发 表 的 数据 是 否 正确 ， 最 后 ， 计 算 这 个 三 个 随机 数 的 结 有 末 ， 如 下 : 


。 串 国 
n> 


参与 者 选择 一 个 大 的 任意 字符 串 。 爱 丽 丝 选 x， 鲁 勃 选 y， 


水 

朝 

沪 南 中 
康信 


每 个 参与 者 发 布 对 应 的 哈 希 函数 值 H(x)、H(y)、H(z)。 
I H(y)、 H(z) 具 有 明显 的 差异 性 (否则 放 


六 属性 


江 
EE 
SS 
二 


三 个 参与 者 分 别 披露 他 们 所 选 的 字符 串 x、y 和 z。 
每 个 参与 着 得 证 这 些 字符 串 是 否 与 第 一 回合 里 发 布 的 函数 值 相 


最 后 的 输出 是 (x+y+z) %3。 


这 种 数据 协议 之 所 以 能 成 功 是 因为 以 下 因素 : 第 一 ， 因 为 函数 的 
输入 x，y，z 是 大 的 任意 数 ， 没 有 人 可 以 在 第 一 回合 之 后 预测 其 他 人 的 
输入 ; 第 二 ， 如 果 爱 丽 丝 按照 规则 任意 地 选择 她 的 输入 ， 她 可 以 相 
信 ， 不 管 鲍 劲 和 卡 罗 尔 是 否 选 择 了 随机 数 ， 最 后 的 输出 结果 也 是 随机 
的 。 


公平 性 


要 是 有 人 不 披露 约定 怎么 办 ? 在 这 个 协议 的 第 二 回合 里 ,假设 卡 
罗 尔 一 直 等 到 爱丽 丝 和 鲍 动 披露 他 们 的 秘密 随机 数 ， 然 后 ， 在 披露 之 
前 ， 意 识 到 她 会 输 掉 这 一 局 ， 她 束 有 可 能 拒绝 公布 她 的 随机 数 一 一 她 
可 以 说 她 还 ee 0 。 爱丽 缘 和 鲍 动 可 能 会 怀疑 ， 但 他 们 也 
没有 什么 好 的 办 法 去 追 


我 们 所 要 做 的 是 立 下 一 个 规矩 : 参与 者 看 是 做 出 承诺 ， 则 必须 在 
一 定 的 时 间 内 拔 露 所 选 的 随机 数 。 在 密码 学 里 ， 这 个 特性 叫 作 公平 
性 。 比 特 币 提 供 了 一 个 非常 好 的 解决 方法 。 


比如 爱丽 丝 想 要 做 出 一 个 有 时 限 的 约定 承诺 ， 但 饮 动 古 唯 一 对 此 

有 有 顾虑 的 。 第 一 ， 爱 丽 丝 移 设置 一 定 的 保证 金 ， 比 特 币 文 出 交易 的 脚 

本 可 以 用 来 规定 ， 这 笔 保证 金 只 能 用 以 下 两 种 支付 情形 : 第 一 种 文 付 

情形 是 必须 同时 有 爱丽 丝 和 鲍 盈 两 人 的 共同 签名 ; 第 二 种 文 付 情形 是 

只 要 爱丽 丝 披露 了 她 的 随机 数 ， 以 后 消费 这 笔 交 易 ， 就 只 需要 有 爱丽 

缘 的 签名 。 如 果 爱 丽 丝 所 选择 的 随机 字符 串 是 x， 那 么 输出 脚本 
(ScriptPubkey) 会 包括 哈 希 函数 HOO 的 值 。 


接 下 来 ， 爱 丽 丝 和 鲍 勃 会 同时 签 下 一 个 交易 ， 把 这 个 保证 金 文 付 
给 鲍 勃 (两 种 情形 之 一 ) 。 但 为 什么 爱丽 丝 会 同意 这 样 做 昵 ? 这 个 交 
易 带 有 一 个 nLockTime 值 来 保障 鲍 著 不 能 在 时 间 点 t 之 前 来 赎 取保 证 金 。 
因为 ， 在 此 时 间 之 前 ， 爱 丽 丝 只 要 愿意 披露 她 的 约定 随机 值 ， 她 惑 可 
以 赎 回 这 个 保证 金 ， 所 以 她 的 这 个 签名 交易 是 安全 的 。 见 图 9.5。 


scriptPubKey: 
OP_IF 
<AlicePubKey> OP_ CHECKSIGVERIFY “BobPubKey> OP_CHECKSIG 
OP_ELSE 
<AlicePubKey> OP_CHECKSIGVERIFY OP_HASH <H(x)> OP_EQUAL 
OP_ENDIF 


scriptSig for Case 1: 

<BobSignature> <AliceSignature> 6 
scriptSig for Case 2: 

x <AliceSignature> 1 


图 9.5 在 有 时 限 的 哈 希 函数 约定 中 使 用 输出 脚本 和 输入 脚本 的 交易 输出 


如 果 爱 丽 丝 在 弃 局 之 前 没有 披 种 她 的 约定 随机 数值 ， 那 么 鲍 动 就 
可 以 在 时 间 点 t 之 后 赎 取 该 保证 金 。 没 有 人 通 迫 爱丽 丝 披露 她 的 随机 
数 ， 但 如 末 她 不 披露 ， 她 会 因此 失去 预 设 的 保证 金 。 


我 们 如 何 用 这 个 有 时 限 的 函数 约定 来 实现 安全 的 博彩 系统 ”其 
实 ， 好 构 和 之 前 几乎 一 样 ， 老 别 在 于 ， 我 们 不 再 采用 简单 的 函数 约 
定 ， 而 是 采用 有 时 限 的 函数 约定 。 任 何 一 方 ， 要 赎 回 这 笔 保 证 金融 必 
须 把 正确 的 随机 数值 x 披露 出 来 ， 如 果 在 最 后 期 限 到 来 时 还 不 披露 出 他 
的 随机 数值 ， 束 会 放弃 他 的 保证 金 ， 以 用 来 补偿 其 他 两 个 玩家 。 


可 以 在 比特 币 系 统 上 实施 这 个 博彩 系统 。 但 这 个 系统 有 些 复杂 ， 

而 且 有 时 限 的 函数 约定 还 要 求 多 个 非 标准 的 交易 。 当 系统 里 有 n 个 玩家 
的 时 候 ， 由 于 每 个 玩家 都 要 设置 一 笔 保证 金 ， 我 们 需要 nm 个 约定 ， 此 
外 玩家 们 还 不 得 不 投入 比 全 部 赌注 更 多 的 资金 用 来 托管 保证 金 。 但 对 
于 参与 者 较 少 的 游戏 来 说 ， 这 是 合理 的 ， 并 且 有 更 好 的 效率 。 最 重要 
的 是 ， 这 个 游戏 验证 了 本 来 认为 不 可 能 的 数据 交换 协议 ， 比 如 在 线 据 
虚拟 硬币 ， 并 对 不 遭 守 规则 的 玩家 进行 惩罚 ， 在 比特 币 的 世界 里 是 可 
以 做 到 的 。 


9.4 比特 币 作 为 一 个 公共 的 随机 源 


在 上 一 入 ， 我 们 展示 了 一 群 人 如 何 选择 一 个 公平 的 随机 数 。 在 这 
一 节 里 ， 我 们 将 讨论 如 何 用 比特 币 来 产生 一 个 对 任何 人 都 公平 的 公共 
随机 数 。 为 什么 我 们 需要 一 个 公共 随机 数 ? 让 我 们 先 看 一 下 几 个 现实 
中 已 经 存在 的 依赖 公共 随机 数 的 案例 。 


NBA 新 人 选秀 


其 中 一 个 例子 束 是 每 年 春天 的 美国 NBA 联 赛 的 新 人 选秀 大 乐 透 。 
NBA 联 盟 中 所 有 的 30 文 球 队 有 聚集 在 一 起 ， 根 据 上 赛季 每 个 球 队 的 赛季 
排名 增加 相应 的 权重 ， 随 机 选择 球 队 选 秀 顺 序 。 在 1985 年 ， 联 盟 首 次 
采取 这 种 方法 进行 选秀 ， 乐 透 选 秀 的 过 程 通过 电视 现场 直播 ， 包 合 球 
队 名 字 的 信封 在 一 个 透明 的 转盘 里 被 充分 打 乱 ， 委 员 会 专员 随后 去 挑 
选 这 些 信封 。 因 为 纽约 尼克 斯 (Knicks) 队 获得 了 当年 的 状元 秀 中 锋 帕 特 
里 克 : 尤 因 (Patrick Ewing) ， 最 终 尤 因 也 确实 成 为 NBA 名 人 筷 的 一 
员 ， 当 时 这 个 乐 透 的 产生 引起 了 不 小 的 和 争议。 由 于 那 次 的 乐 透 发 生 在 
纽约 ， 其 他 球 队 的 球迷 宣称 整个 过 程 被 人 操纵 ， 并 偶 回 尼克 期 队 。 


有 很 多 有 关 NBA 是 如 何 操纵 选秀 过 程 的 阴谋 论 ， 比 如 著名 的 “ 折 
角 ” 论 (“bent corner" theory) 是 说 包含 有 尼克 斯 的 信封 有 一 个 角 被 故意 
折 弯 了 ， 这 样 委员 会 专员 通过 触摸 就 可 以 分 辨 出 哪个 信封 是 尼克 斯 
的 。 另 外 一 个 论调 是 说 尼克 斯 的 信封 之 前 被 放 在 了 冷冻 室 里 ， 这 样 专 
员 可 以 通过 选择 一 个 手感 比较 冷 的 信封 来 挑选 出 尼克 斯 队 。 这 些 论调 
都 反映 了 一 个 事实 ， 这 种 类 型 的 选择 要 做 到 绝对 公平 是 非常 困难 的 ， 
有 很 多 合乎 推理 的 作 浆 空间 ， 想 象 一 下 一 个 职业 魔术 师 的 巧 手 可 以 做 


些 什么 ! 直到 今天 ， 选 秀 乐 透 每 年 都 会 举行 ， 但 每 一 次 都 充斥 着 各 种 
阴谋 论 和 谣言 ， 以 说 明 选 秀 并 不 是 绝对 公平 的 。 


美国 军队 选秀 


男 一 个 更 加 严肃 的 案例 是 1969 年 的 美国 征兵 选秀 ， 用 于 决定 哪些 
年 轻 人 会 去 参军 ， 大 部 分 被 选中 的 人 事后 都 被 派 去 参加 了 越南 战争 。 
同样 使 用 了 一 个 类 似 于 NBA 选 秀 的 方法 ， 由 美国 国会 派出 的 代表 来 主 
持 选 秀 并 通过 电视 直播 (如 图 9.6) 。 他 们 在 一 个 大 的 塑料 桶 中 放 了 很 
多 小 球 ， 每 个 小 球 包含 了 一 个 数 子 ， 然 后 轮流 从 桶 中 把 这 些 数字 小 球 
取出 来 ， 根 据 数 字 所 代表 的 生日 来 决定 优先 级 ， 根 据 这 个 优先 级 挑选 
合格 的 年 输 人 参军 。 


图 9.6 1969 年 (越战 ) 军队 选秀 


1969 年 的 这 次 征兵 选秀 ， 征 首次 在 全 国 范围 内 采用 乐 透 方式 进行 
选秀 。 其 目的 是 通 过 避 开 数 以 千 计 的 本 地 征兵 委员 会 ， 以 使 选拔 过 程 
更 加 公平 ， 并 且 癌 公众 公开 这 个 过 程 。 但 遗憾 的 是 ， 这 个 选秀 乐 透 也 
演 硬 了 ， 不 到 一 个 星期 ， 概 率 专 家 通过 数据 调查 分 析 注 意 到 了 一 个 特 
别 的 模式 (如 图 9.7 所 示 ) : 出 生 于 下 半年 的 人 被 选中 的 优 移 级 较 低 。 


虽然 这 种 差异 非常 细微 ， 但 是 从 概率 统计 上 是 非常 显著 的 ， 说 明 这 不 
太 可 能 是 偶然 事件 。 当 他 们 回 看 现场 录像 的 时 候 ， 发 现 每 次 转动 转 盘 
的 次 数 恰恰 都 是 偶数 次 ， 这 意味 着 一 开始 是 上 层 的 小 球 有 较 大 的 概率 
一 直 留 在 上 层 ， 说 明 为 了 形成 随机 抽签 的 混合 程序 并 不 充分 。 


这 两 个 案例 都 证 明了 ， 设 计 一 个 公众 认可 的 随机 过 程 并 由 此 产生 
一 个 认可 的 公共 随机 数 ， 是 十 分 困难 的 。 无 论 你 采用 什么 方法 ， 总 有 
人 人 怀疑 你 作 浆 。 风 险 在 于 ， 这 个 随机 过 程 可 能 会 被 操作 一 一 即便 这 个 
过 程 是 真正 随机 的 ， 但 公众 并 不 信任 它 。[i 


0 50 100 150 200 250 306: 


图 9.7 1969 年 征兵 选秀 的 概率 统计 偏差 
注 : x 轴 代 表 日 期 ，y 轴 代表 选秀 号 码 。 


密码 学 “信号 塔 ” 


由 于 成 本 低 ， 并 且 大 众 易 于 理解 ， 用 转盘 、 抛 硬币 、 毛 般 子 等 方 
法 去 展示 公开 随机 性 ， 在 历史 上 一 直 比 较 普 过。 但 是 这 些 方法 非 党 难 
以 审计 ， 因 此 并 不 适用 于 大 范围 的 场景 。 即 使 整个 过 程 从 视频 上 看 起 
来 是 合法 的 ， 人 们 也 有 理由 去 怀疑 乐 透 的 执行 者 可 以 使 用 “魔术 师 之 
手 ” 去 操纵 结果 。 


那么 ， 通 过 密码 学 的 办 法 ， 我 们 是 否 可 以 做 得 更 好 ? 这 里 ， 我 们 
用 密码 学 “信号 塔 * (cryptographic beacons) 来 特 指 一 个 提供 公共 随机 
源 的 服务 。 我 们 的 想法 是 “信号 塔 ” 会 源源 不 断 地 在 一 个 固定 的 频率 产生 
随机 数 ， 并 且 没 有 人 可 以 预测 这 些 随机 数 。 只 要 大 家 同意 这 一 点 一 一 
没 人 可 以 预测 这 个 信号 塔 的 下 一 个 输出 ， 那 么 大 家 束 都 可 以 相信 其 生 
成 的 是 一 个 真正 的 随机 数 。 


一 个 完美 的 密码 学 信号 塔 可 以 服务 于 各 种 公开 乐 透 项 目 ， 比 如 上 
面 两 个 例子 。 如 果 你 想 要 在 本 地 的 俱乐部 玩 一 个 宾 果 (Bingo) 游戏 [4 
， 你 再 也 不 需要 用 一 个 大 的 转盘 来 产生 随机 性 了 。 只 要 每 个 人 都 信任 
言 写 塔 ， 束 不 要 用 物理 的 方法 来 展示 随机 性 了 ， 这 会 省 去 很 多 麻烦 。 


密码 学 专家 提出 了 很 多 其 他 的 公共 随机 源 的 应 用 方案 ， 包 括 投票 
系统 、 零 知识 验证 、 分 割 选择 协议 等 。 如 果 你 有 一 个 完 类 的 宅 码 学 信 
号 塔 ， 其 中 很 多 方案 都 会 变 得 非 肖 侧 单 有 效 。 但 遗憾 的 是 ， 截 至 目 
前 ， 我 们 还 没有 找到 一 个 完美 的 方案 去 打造 这 样 一 个 信号 塔 。 


NIST 信 号 塔 


NIST ， 即 美 家 标准 与 技术 研究 所 (National Institute of 
Standard and Technology) 。 从 2011 年 开始 ，NIST 运 行 了 一 个 它们 上 自己 


的 信号 塔 服务 。 它 们 声称 用 了 一 个 非常 复杂 的 实验 室 痰 置 来 产生 随机 
数 ， 甚 至 动用 了 两 个 纠缠 态 光 子 。 由 于 随机 数 是 由 量子 力学 现象 产生 
的 ， 那 么 理论 上 这 个 数字 可 以 保证 非常 强 的 随机 性 。 如 果 你 认可 海 森 
堡 不 确定 性 原理 (Heisenberg uncertainty principle) 和 其 他 一 些 被 广泛 
接受 的 物理 学 原理 ， 那 么 你 就 会 相信 这 个 信号 塔 产 生 的 数 古 真正 随机 
的 ， 并 且 不 可 预测 。NIST 信 和 号 塔 服务 可 以 每 60 秒 产生 一 个 附带 有 数据 
签名 的 随机 数 ， 并 提供 一 个 非常 便利 的 程序 接口 一 一 服务 可 以 通过 网 
页 来 访问 并 返回 随机 数 。 


从 某 种 意义 上 说 ，NIST 信 号 塔 代表 了 从 物理 上 展示 随机 性 的 极 
限 ， 但 无 法 解决 一 个 基本 的 信任 问题 一 一 你 必须 信任 NIST 确 实 是 通过 
它们 所 宣称 的 这 些 程序 来 产生 随机 数 的 ， 你 必须 信任 在 马里 兰州 的 茶 
一 个 建筑 里 面 ，NIST 确 实用 它们 的 实验 室 来 产生 这 些 随机 数 ， 而 不 是 
伪造 的 ， 你 还 必须 信任 它们 确实 没有 能 力 故意 重 写 其 中 一 些 随机 数 。 


打 过 一 个 信和 号 塔 的 其 他 潜在 方法 : 目 然 现象 


我 们 是 否 可 以 使 用 一 些 每 个 人 都 可 以 观测 到 的 自然 现象 来 实现 信 
号 塔 ? 或 者 我 们 可 以 使 用 天 气 的 一 些 细 市 ， 比 如 在 某 天 某 个 特定 地 后 
的 温度 ， 或 者 是 风力 的 强度 ， 或 者 是 否 会 下 雨 。 当 然 ， 我 们 有 能 力 去 
提前 预测 天 气 ， 但 是 预测 的 结果 并 不 是 非常 精确 ， 所 以 我 们 可 以 使 用 
这 些 测量 值 的 “最 低 有 效 位 *”。 但 是 这 个 方法 也 有 局 限 性 ， 那 就 是 需要 所 
有 的 参与 者 在 同一 个 地 点 做 同样 的 测量 。 


为 了 避免 这 个 问题 ， 我 们 可 以 利用 太阳 黑子 ， 一 种 太阳 表面 的 爆 
发 活动 ( 见 图 9.8) 。 另 外 一 个 例子 是 宇宙 背景 辐射 ， 通 过 广播 天 线 ， 
你 可 以 从 地 球 上 的 任意 一 点 都 可 以 监测 到 这 个 数据 ， 而 且 每 个 人 都 可 
以 读 取 到 同样 的 数值 。 这 些 都 是 超大 范围 发 生 的 现象 ， 很 容易 向 公众 
证 明 没有 其 他 人 可 以 操纵 这 个 过 程 。 想 象 一 下 ， 某 人 穿越 宇宙 到 达 太 


阳 表 面 ， 然 后 用 某 种 办 法 去 影响 太阳 黑子 现象 ， 而 其 目的 仅仅 是 为 了 
操纵 地 球 上 的 某 个 乐 透 项 目 ， 这 显然 是 不 现实 的 。 所 以 上 述 这 些 方法 
都 有 很 好 的 特性 : 公众 可 观测 性 、 可 防止 被 操纵 性 ， 以 及 一 个 可 接受 
的 不 可 预测 性 。 


图 9.8 NASA 太 阳 黑 子 照片 


但 上 述 这 些 方 法 都 有 一 个 共同 的 问题 ， 束 是 生成 随机 数 太 慢 了 。 
例如 ， 如 果 随 机 信号 是 当日 最 高 温度 ， 那 么 你 每 天 只 能 获取 一 次 这 样 
的 数值 ， 太 阳 表 面 也 不 是 经 常 变 化 ， 在 很 多 密码 学 应 用 中 ， 随 机 数 通 
常 作 为 伪 随 机 数 发 生 器 (Pseudo-Random Generator ， 简 称 PRG) 的 输 
入 ， 从 安全 角度 考虑 ， 这 些 输 入 通常 需要 达到 80 比 特 位 长 度 ， 甚 至 更 
多 ， 但 如 果 以 天 气 或 者 天 文学 为 数据 源 ， 那 我 们 可 能 需要 很 长 时 间 才 
能 积累 到 80 位 长 度 的 随机 数 。 


男 外 ， 观 测 太阳 黑子 现象 这 种 方法 还 需要 专业 技能 ， 所 以 你 还 需 
要 依赖 一 些 可 信任 的 专业 观测 者 来 获取 这 些 测量 数据 。 由 于 有 很 多 这 


样 的 可 信任 的 观测 者 ， 我 们 也 希望 他 们 “互相 之 间 有 诚信 ”。 信 号 塔 的 应 
用 者 ， 或 者 说 是 这 些 应 用 的 用 户 ， 可 以 随时 选择 并 替换 观测 者 。 这 个 
符 性 被 称 为 “信任 的 敏捷 性 ”"， 相 比 于 NIST 是 提供 信号 塔 服务 的 蛙 一 机 
构 ， 这 个 特性 更 加 优越 。 


还 有 更 深层 次 的 问题 ， 虽 然 这 个 问题 看 起 来 可 能 微不足道 ， 那 就 
是 ， 我 们 是 否 可 以 找到 一 个 方法 ， 它 可 以 使 一 个 现实 世界 的 观测 数据 
一 一 例如 温度 、 太 阳 黑 子 图 一 一 转变 为 一 个 数据 字符 串 ， 并 且 它 还 需 
要 保证 每 一 个 观测 者 都 获得 相同 的 字符 串 ? 我 们 可 以 尝试 数字 化 这 个 
观测 数据 : 比如 ， 我 们 用 华氏 度 来 描述 温度 ， 并 使 用 第 一 个 十 进 制 数 
位 作为 信号 塔 的 输出 ， 但 是 除非 每 一 个 观测 者 的 温度 计 都 是 不 可 思议 
的 精准 ， 否 则 就 会 出 现下 面 的 情形 ， 有 些 观测 者 读 取 的 温度 (比如 ) 
是 62.7， 而 另外 一 些 人 读 取 的 则 是 62.8。 目 前 看 来 ， 不 管 我 们 选择 哪 种 
自然 现象 或 者 采用 哪 种 协议 ， 我 们 都 会 遇 到 这 种 “极端 情况 ”。 对 于 一 个 
密码 学 信号 搭 ， 即 使 测量 值 出 现 非 连续 性 的 可 能 性 非常 小 ， 那 也 是 无 
法 接受 的 ， 因 为 这 有 可 能 使 得 PRG 产 生 的 随机 数 变 得 完全 不 同 。 


金融 数据 


还 有 一 个 类 似 的 想法 是 使 用 金融 数据 作为 数据 产 ， 比 如 股票 市 场 
价格 指数 。 同 样 ， 这 些 是 公开 的 可 观测 的 数值 ， 而 不 像 自 然 现 象 ， 这 
些 金融 数据 本 喘 束 是 用 数字 来 呈现 的 ， 所 以 不 会 因为 观测 者 不 同 ， 产 
生 数 据 不 一 致 的 问题 ， 同 时 ， 我 们 有 很 好 的 理由 相信 ， 股 票 价格 的 小 
波动 是 很 难 预测 的 : 如 采 你 可 以 预测 纽约 证 交 所 某 一 只 股票 的 交易 价 
格 ， 并 且 精 确 到 美 分 级 别 ， 你 就 会 成 为 一 个 非常 赚钱 的 日 内 交易 员 。 
某 些 人 可 以 通过 洋 卖 股票 ， 去 操纵 股票 价格 到 某 一 个 特定 的 数值 ， 但 
这 需要 巨大 的 成 本 。 


但 是 ， 这 种 方法 也 需要 依赖 某 一 个 信任 方 ， 比 如 股票 交易 所 。 即 
使 股票 交易 所 本 身 有 很 强 的 意愿 去 建立 自己 的 诚信 ， 但 如 果 让 它们 操 
纵 一 个 非常 有 利 可 图 的 乐 透 ， 那 么 它们 整 有 可 能 去 竹 试 改变 股票 价格 

(例如 ， 通 过 插入 自己 的 买卖 单 ) 。 


截至 目前 讨论 的 方法 ， 似 乎 很 难 去 规避 信任 方 的 问题 ， 而 这 个 信 
任 方 却 是 可 以 在 整个 过 程 中 的 某 些 关键 环 世 对 结果 施加 重要 影响 的 。 


用 比特 币 作为 一 个 < 信号 增 ? 


幸运 的 是 ， 把 中 央 权 威 从 数据 交换 协议 中 剥离 出 来 ， 在 之 前 认为 
几乎 是 不 可 能 的 任务 ， 而 比特 币 十 很 有 而 望 实 现 这 一 任务 的 技术 ， 而 
这 也 是 本 书 的 中 心思 想 之 一 。 我 们 有 是否 可 以 把 比特 币 作 为 一 个 生成 随 
机 数 的 “信号 塔 ” 呢 ?我 们 想 要 从 比特 币 的 区 块 链 里 摘 取 随 机 数 ， 与 此 同 
时 保留 比特 币 所 有 去 中 心 化 的 特 操 ， 正 是 这 些 特点 使 比特 币 如 此 吸引 
大汉 


我 们 回忆 一 下 ， 和 矿工 必须 计算 大 量 的 随机 哈 希 函数 来 找到 一 个 有 
效 区 块 。 或 许 这 意味 着 没有 人 可 以 不 经 过 控 矿 工作 就 能 预测 或 是 影响 
下 一 个 区 块 的 生成 。 当 然 ， 任 何 一 个 区 块 的 哈 希 函数 结 采 的 最 初 几 个 
字 节 都 是 零 ， 但 是 在 合适 的 假设 下 ， 唯 一 可 以 预测 剩余 位 数 的 比特 值 
的 方法 可 能 是 找到 一 个 胜出 有 效 区 块 ， 然 后 选择 性 丢弃 它 ( 见 图 
9.9) 。 
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图 9.9 比特 币 像 灯塔 一 般 
注 : 我 们 可 以 通过 使 用 随机 提取 功能 ， 提 取 公共 随机 数据 ， 标 注 区 块 链 上 的 各 个 区 块 。 


这 样 一 来 ， 把 区 块 链 变 成 一 个 随机 数 “ 信 号 捧 ? 成 了 一 件 简 单 的 事 。 
在 区 块 链 上 的 每 一 个 区 块 上 ， 我 们 在 区 块头 部 设置 一 个 “随机 数 抽 取 
硕 ”。 随机 数 抽取 右 ， 其 实 束 是 一 个 蛤 布 国 数 ， 这 个 哈 希 函数 把 所 有 的 
输入 随机 业 均 匀 地 压缩 成 一 个 随机 了 字符 串 。 每 次 只 要 发 表 一 个 区 块 ， 
我 们 束 有 了 一 个 新 的 随机 信和 号 输出 。 


评估 比特 币 “ 信 和 号 搭 ” 的 安全 性 


假设 你 参加 一 个 乐 透 抽 奖 ， 这 个 抽奖 的 结 采 是 由 未 来 将 要 产生 
的 、 一 个 预先 设 定 的 、 位 于 高 度 h 的 某 个 区 块 的 输出 所 决定 的 。 这 个 乐 
透 抽 次 有 NN 个 参与 者 ， 每 个 参与 首部 下 注 了 B 个 比特 币 ， 如 末 你 也 是 一 
名 矿工 ， 我 们 再 假设 ， 你 壮 运 地 找到 了 一 个 区 块 ph 的 函数 解 谜 的 答案 ， 
你 融 可 以 选择 发 表 或 是 不 发 表 这 一 区 块 。 如 采 你 不 喜欢 从 这 个 区 块 里 
产生 的 抽奖 的 结果 ， 你 可 以 轻易 地 丢弃 这 一 区 块 ， 然 后 让 其 他 找到 这 
个 区 块 的 人 来 决定 这 个 抽奖 结果 ， 但 同时 ， 你 必须 放弃 因为 找到 这 个 
区 块 所 市 来 的 收入 。 


证 我 们 计算 一 下 ， 下 注 的 数额 B 值 需要 多 大 ， 才 值得 考虑 放弃 区 块 
本 身 的 奖励 。 如 采 你 成 功 地 找到 了 一 个 位 于 高 度 h 的 区 块 来 决定 抽奖 的 
结果 ， 然 后 意识 到 ， 如 果 你 发 表 了 这 个 结果 ， 你 肯定 会 输 掉 抽奖 ; 如 
果 你 扔 掉 这 块 ， 你 还 是 有 UN 的 概率 来 说 得 BxN 比 特 币 ， 这 就 意味 着 ， 
如 果 你 期 望 的 抽奖 奖励 (MLN)xBxN 比 特 币 比 挖 矿 所 获得 的 25 个 比特 币 奖 
励 要 大 的 话 ， 那 么 放弃 区 块 奖励 是 合理 的 〈 在 2015 年 ， 如 果 不 考虑 交 
易 费 的 话 ， 区 块 奖 励 大 概 是 25 个 比特 币 ) ， 所 以 如 果 B 大 于 25， 这 种 丢 
弃 录 上 略 束 是 有 利 可 图 的 。 在 2015 年 中 旬 ，25 个 比特 币 价值 大 约 在 5 000 
美元 左右 。 所 以 如 果 每 个 玩家 下 注 不 到 5 000 美 元 的 话 ， 并 且 假 设 每 个 
玩家 都 是 理 稚 的 ， 那 么 这 个 乐 透 抽 交 有 是 可 以 抵抗 放弃 有 效 区 块 这 种 攻 
击 的 。 


男 一 大 优点 是 这 是 一 个 完全 去 中 心 化 的 信号 源 ， 没 有 一 个 中 心 化 
的 信托 方 。 比 起 其 他 几 个 信号 源 的 方案 ， 它 的 处 理 速度 相当 快 ， 大 概 
每 10 分 钟 惑 产生 一 个 输出 。 然 后 通过 上 述 的 商 单 模型 ， 我 们 可 以 估计 
一 个 攻击 者 想 要 操纵 信号 源 输出 所 需要 付出 的 代价 。 


用 比特 币 作 为 信号 塔 办 法 的 一 个 缺点 是 ， 不 能 精确 定时 。 比 如 ， 
假设 我 们 想 要 在 明天 正午 读 取 这 个 信号 源 的 值 ， 但 我 们 无 法 知道 哪个 
区 块 在 哪个 时 点 会 生成 最 新 的 一 个 区 块 。 虽 然 平均 来 说 ， 在 正午 之 前 
或 之 后 的 10 分 钟 内 一 定 会 有 一 个 区 块 被 公布 ， 但 这 还 是 会 有 误 老 。 如 
某 我 们 想 降低 目标 区 块 在 一 个 短 分 又 事件 中 丢失 的 可 能 性 ， 我 们 还 要 
对 有 可 能 发 生 的 延迟 有 所 准备 。 在 比特 币 世界 里 ， 通 单 情况 下 要 等 6 个 
区 块 《60 分 钟 ) 后 ， 才 能 确信 这 个 信号 值 是 真正 地 被 确认 了 。 


男 一 个 缺陷 是 ， 相 对 来 说 ， 操 纵 这 个 信号 值 所 需 的 代价 可 能 还 是 
太 低 。 如 果 我 们 用 这 个 方法 来 实行 NBA 选 秀 ， 由 于 其 中 可 能 涉及 几 干 
万 美元 利益 ， 球 队 顿 时 就 有 了 贿赂 矿工 来 操纵 选秀 过 程 的 动力 。 所 
以 ， 当 涉及 巨额 唤 金 时 ， 这 个 方法 是 否 有 效 仍 值得 探讨 。 


最 后 ， 我 们 的 安全 评估 忽略 了 一 些 现实 生活 中 的 因素 。 比 如 ， 对 
于 加 入 某 一 个 矿 池 的 矿工 来 说 ， 丢 弃 一 个 有 效 区 块 并 不 会 让 他 损失 很 
多 钱 ， 因 为 他 们 是 根据 贡献 算 力 的 比例 ， 而 不 是 区 块 来 领取 奖励 的 。 
所 以 ， 比 符 币 信号 塔 目 前 还 古 一 个 有 趣 但 没有 被 证 明 的 想法 。 


脚本 语言 对 信号 需 的 文 择 


如 果 我 们 扩展 比特 币 的 脚本 语言 功能 ， 加 入 一 个 特殊 的 操作 码 
(opcode) 来 读 取 比 特 币 信号 呢 ? 按照 最 初 的 设计 ， 现 在 的 比特 币 脚本 
语言 没有 任何 办 法 去 实现 任何 随机 性 ， 因 为 矿工 必须 验证 脚本 ， 而 且 
一 个 脚本 的 有 效 性 需要 获得 所 有 矿工 的 认可 ， 但 如 果 我 们 用 了 信号 塔 
产生 的 随机 数 ， 由 于 这 是 一 个 可 被 证 明 的 公共 随机 数 ， 把 这 个 随机 数 
加 入 交易 脚本 中 ， 丰 工 束 容易 随机 性 地 达成 共识 。 


假设 我 们 有 一 个 操作 码 可 以 做 一 个 随机 的 决定 ， 这 个 决定 是 基于 
上 个 区 块 的 信号 塔 输出 的 。 我 们 可 以 把 整个 复 洒 的 抽奖 数据 协议 用 一 
个 脚本 来 蔡 代 一 一 读 信和 号 塔 的 随机 数值 ， 然 后 把 该 输出 分 派 到 n 个 密 钥 
中 的 一 个 。 这 需要 有 多 回合 的 数据 协议 安全 保证 或 是 有 了 时效 的 函数 约 


a 


丰 


这 个 想法 的 一 个 缺点 是 ， 为 矿工 操纵 抽奖 提供 了 可 能 性 ， 如 果 他 
们 发 觉 挖 到 的 这 一 个 区 块 里 的 交易 会 让 他 们 输 近 这 个 抽奖 ， 他 们 就 会 
人 简 持 地 将 抽奖 交易 延迟 至 后 面 的 一 块 出 现 。 但 古 我 们 可 以 对 信号 塔 的 
操作 码 做 一 个 小 小 的 调整 来 防御 这 类 攻击 ， 也 就 古 说 ， 你 不 是 用 上 一 
个 区 块 ， 而 是 使 用 某 一 个 特定 高 度 的 区 块 所 产生 的 信号 塔 随机 数 。 


[由 所 以 一 个 公平 的 不 受 操纵 的 公共 随机 源 是 一 个 公共 福 社 ， 而 比特 币 可 以 做 到 这 一 点 ， 
办 为 它 是 去 中 心 化 的 。 一 — 译 者 注 
[2] Bingo 是 一 种 填写 格子 的 游戏 ， 在 游戏 中 第 一 个 成 功 者 以 喊 Bingo* 表 示 取 胜 而 得 名 。 
一 _ 译 者 注 


9.5 预测 市 场 和 真实 世界 的 数据 源 


作为 本 章 的 最 后 一 个 论题 ， 我 们 现在 来 看 一 下 如 何 利用 加 密 数 字 
货币 ， 以 去 中 心 化 的 方式 来 实现 一 个 预测 市 场 ， 与 此 相关 ， 如 何 把 真 
实 世 界 的 数据 导入 比特 币 系统 。 


在 预测 市 场 中 ， 人 们 可 以 在 一 起 对 未 来 的 事件 进行 下 注 ， 比 如 体 
育 比赛 或 是 选举 。 对 于 事件 发 生 的 每 一 个 结果 ， 参 与 者 可 以 买卖 和 交 
易 相应 的 “份额 ”。 


表 9.1 A te SO A dd 


元 
球 队 德国 阿根廷 巴西 美国 英格兰 荷兰 
赛事 之 前 0. 12 0. 09 0. 22 0. 01 0. 05 0. 03 
小 组 赛 后 0. 18 0. 15 0.31 0. 06 0. 00 0. 05 
半 决 赛 前 0. 26 0. 21 0. 45 0. 00 0. 00 0. 08 
决赛 前 0. 64 0. 36 0. 00 0. 00 0. 00 0. 00 
决赛 后 1 0 0 0 0 0 


注 : 押 注 类 国 队 顾 得 世界 杯 的 价格 在 美国 队 小 组 表现 出 色 后 ， 从 1 美 分 上 升 到 6 美 分 。 当 巴西 打 
进 半 决赛 后 ， 其 赌注 价格 上 升 到 了 45 美 分 ， 而 当 巴 西 队 输 掉 半 决 赛 后 ， 这 份 财 注 变 得 毫 无 价 
值 。 最 后 只 有 德国 队 的 赌注 才 有 价值 ， 因 为 他 们 赢得 了 冠军 。 


我 们 用 一 个 案例 来 详细 解释 一 下 预测 市 场 背 后 的 概念 ， 使 其 更 加 
清晰 。2014 年 的 世界 杯 在 巴西 举行 ， 假 设 有 一 个 市 场 ， 你 可 以 买卖 每 
个 队 的 赌注 。 最 终 冠军 队 的 赌注 是 1 元 ， 而 其 他 队 的 都 是 0。 比 赛 开始 
之 后 ， 根 据 市 场 认 为 每 个 队 最 后 能 赢得 冠军 的 概率 ， 每 个 球 队 的 赌注 
都 会 有 一 个 价格 。 表 9.1 束 是 五 个 队 的 赌注 价格 情况 。 


在 比赛 前 ， 德 国 队 赌注 的 交易 价格 是 12 美 分 ， 意 味 着 市 场 觉 得 德 
国 队 大 约 有 12% 的 机 会 获得 最 后 的 冠军 。 当 比赛 进行 的 时 候 ， 这 些 赌注 
价格 会 上 下 波动 ， 反 映 了 市 场 参 与 着 对 每 个 队 最 终 获 胜 的 信心 。 


在 我 们 的 案例 中 ， 英 国 队 赌 注 本 来 的 交易 价 是 5 美 分 ， 但 后 来 变 成 
了 0， 因 为 英国 队 没 有 小 组 出 线 ， 他 们 已 经 不 可 能 取得 最 终 的 胜利 ， 价 
格 也 相应 地 反映 了 这 一 点 。 与 之 相反 的 是 ， 美 国 队 最 初 被 认为 很 难 从 
小 组 出 现 ， 但 是 结果 他 们 的 小 组 赛 表 现 却 相当 不 错 ， 如 果 你 在 最 初 糯 
国 队 赌注 价格 非常 便宜 的 时 候 〈1 美 分 ) 买 了 它 ， 并 在 它 出 线 并 变 成 6 
美 分 的 时 候 马 上 卖 出 ， 你 就 可 以 拿 回 6 倍 于 你 最 初 的 投资 ， 而 不 需要 等 
到 全 部 比赛 完了 之 后 再 卖 出 。 虽 然 美国 队 最 后 没有 赢得 世界 杯 ， 但 你 
还 是 可 以 在 美国 队 小 组 赛 表现 抢眼 的 时 候 ， 通 过 市 场 对 美国 队 的 信心 
调整 来 获 利 。 


半 决 赛 的 时 候 只 剩 下 四 支队 伍 了 人 ， 由 于 美国 队 与 英国 队 都 被 淘汰 
出 局 ， 所 以 他 们 的 价格 都 是 零 。 每 个 剩 下 的 队 都 有 一 个 高 价位 ， 他 们 
的 价格 之 和 是 1 美元 。 巴 西 队 价格 最 高 ， 因 为 那 时 市 场 认为 巴西 最 有 和希 
望 记 。 当 巴西 队 输 了 半 决 赛 的 时 候 ， 它 的 价格 马上 变 成 了 零 。 在 两 个 
小 时 内 ， 市 场 对 其 信心 束 发 生 了 戏剧 性 的 改变 。 你 可 以 对 巴西 队 进 行 
一 个 卖 空 或 者 去 买 其 他 球 队 。 


到 了 决赛 的 时 候 ， 只 剩 下 两 个 队 。 它 们 的 价格 总 和 还 是 1 美元 。 当 
然 到 最 后 ， 德 国 队 获得 了 最 终 的 胜利 ， 也 只 有 德国 队 的 赌注 最 终 有 价 
值 (1 美元 ) 。 


当然 还 有 一 个 获 利 的 办 法 就 是 ， 你 在 最 初 就 以 12 美 分 的 价格 买 下 
德国 队 的 赌注 ， 然 后 一 直 持 有 到 最 后 ， 直 到 德国 队 获 胜 。 这 基本 上 荐 
传统 体育 博彩 的 机 制 一 一 你 在 比赛 前 下 注 ， 然 后 在 比赛 胜利 后 收 钱 。 
但 在 一 个 预测 市 场 里 ， 有 很 多 其 他 办 法 可 以 进行 博彩 和 和 鳃 利 。 你 可 以 
在 任何 时 间 对 任何 球 队 下 注 ， 你 是 否 可 以 获 利 完全 取决 于 你 准确 地 预 
测 市 场 信心 的 转变 ， 而 与 最 后 结 琳 无 和 天。 


这 里 有 万 外 一 个 案例 ， 这 次 是 一 个 完全 真实 的 预测 市 场 案例 。 在 
2008 年 美国 大 选 之 前 ，Lowa 电 子 市 场 多 许 人 们 购 闫 份额 下 注 奥巴马 或 
者 麦 明 恩 获 取 最 后 的 大 选 胜利 。 如 图 9.10 所 示 ， 奥 巴 马 的 价格 显示 为 实 
线 ， 专 凯 恩 的 则 是 虚线 。 你 可 以 看 到 ， 随 痢 竞 选 活动 的 开展 ， 人 们 对 
谁 将 最 终 获 胜 的 信心 是 波动 的 ， 但 是 到 了 大 选 前 的 前 一 天 ， 奥 巴 马 当 
选 的 概率 达到 了 90%， 在 最 终 投票 之 前 ， 预 测 市 场 对 结果 的 预 判 基本 上 
已 经 确定 了 。 
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图 9.10 预测 市 场 份额 


<5 对 于 2008 年 美国 总 统 大 选 预测 份额 的 价格 走势 图 。 
资料 来 源 : Lowa 电 子 市 场 


预测 市 场 的 力量 


经 济 学 家 对 预测 市 场 普 思 非常 热情 ， 关 系 到 预测 未 来 事件 的 相 
关 信 息 通 稼 都 是 比较 分 散 的 ， 由 于 预测 市 场 提供 了 一 个 平台 ， 每 一 
个 参与 者 都 可 以 利用 他 们 的 相关 知识 获 利 ， 因 此 它 形 成 了 一 个 非常 
好 的 可 以 汇聚 这 些 信息 的 机 制 。 在 恰当 的 经 济 模型 中 ， 股 票 的 市 场 
价格 可 以 被 解读 为 最 终结 果 发 生 的 概率 ， 虽 然 真 实 的 预测 市 场 还 是 


会 存在 偏差 。 根 据 经 验 来 看 ， 预 测 市 场 比 类 似 于 投票 调查 和 专家 论 
坛 之 类 的 其 他 预测 方法 更 加 准确 。 

然而 ， 预 测 市 场 还 是 面临 很 多 合 规 性 方面 的 不 确定 性 和 障碍 ， 
在 2013 年 碰 到 合 规 性 问题 并 被 关闭 之 前 ，Intrade 征 美国 最 受 欢 迎 的 


在 线 预 测 市 场 。 许 多 经 济 学 家 对 此 很 失望 ， 因 为 他 们 觉得 我 们 损失 
了 一 个 非常 有 价值 的 可 以 揭示 未 来 的 社会 性 工具 。 


去 中 心 化 的 预测 市 场 


如 何 建立 起 一 个 去 中 心 化 的 预测 市 场 ? 我 们 必须 将 几 个 重要 的 任 
务 去 中 心 化 。 我 们 需要 一 个 方法 来 搜集 和 发 放 资 金 ， 以 使 这 个 预测 市 
场 能 够 建立 ;我们 还 需要 一 个 方法 来 确保 执行 正确 金额 的 资金 发 放 ; 
我 们 特别 需要 一 个 去 中 心 化 的 仲裁 机 构 ， 仲 裁 是 一 种 流程 ， 用 来 判决 
哪个 结果 是 真正 发 生 的 。 大 多 数 的 体育 比赛 和 国家 选举 ， 最 后 结果 都 
显而易见 ， 谁 说 谁 输 ， 一 目 了 然 ， 但 还 是 有 许多 灰色 地 市 。 我 们 还 需 
要 把 下 单 登 记 系 统 去 中 心 化 管理 ， 其 实 束 是 让 参与 方 直接 找到 交易 的 
男 一 方 。 接 下 来 ， 我 们 将 按 顺 序 来 讨论 这 些 挑战 。 

让 我 们 来 设计 一 个 假想 中 的 被 称 为 “未 来 币 ” (Futurecoin) 的 另类 
币 ， 专 为 预测 市 场所 用 。 我 们 需要 设计 一 些 交 易 类 型 实现 专 为 预测 市 
场 而 设 的 功能 ， 如 图 9.11 所 示 。 


CreateMarket (event_id, arbitrator_key, num_outcomes) 
创造 一 个 新 的 预测 ， 明 确 仲裁 者 和 参数 
BuyPortfolio (event_id) 
为 每 个 未 来 币 的 结果 购买 一 份 赌注 
TradeShares (...) 
将 赌注 转化 为 未 来 币 
SellPortfolio (event_id) 
将 每 个 未 来 币 的 结果 兑现 赌注 
CloseMarket (event_id, outcome_id) 
通过 将 特定 情境 的 押 注 所 得 转 入 一 个 新 完成 的 未 来 币 ， 并 注销 所 有 其 他 情形 的 赌注 ， 
来 结束 特定 预测 市 场 
(outcome_id 是 一 个 介 于 1 和 该 特定 输出 num_outcomes 数 之 间 的 整数 ) 


图 9.11 未 来 币 中 的 新 交易 类 型 
注 : 未 来 币 是 一 个 实现 了 去 中 心 化 的 预测 市 场 的 假想 的 另类 币 。 


CreateMarket 指 令 允 许 任 何 用 户 制 造 出 一 个 针对 任何 事件 的 预测 市 
场 ， 然 后 授权 一 个 特定 的 仲裁 者 〈 也 就 是 一 个 公 钥 ) 来 宣布 这 个 事件 
的 结果 ， 以 及 一 系列 可 能 的 结果 。event_id 是 一 个 任意 的 字符 串 ， 可 以 
把 不 同 的 交易 关联 起 来 指 癌 同 一 个 市 场 。 未 来 币 既 不 关 , 心 event_id 特 指 
哪个 实际 事件 ， 也 不 关心 结 来 是 什么 ， 当 然 在 系统 里 也 没有 办 法 来 具 
体 定义 。 用 户 必 须 保留 这 些 来 目 市 场 创建 者 的 信息 (通常 这 些 创 建 者 
也 是 仲裁 者 ) 。 我 们 会 谈 到 这 个 仲裁 机 制 的 不 同 选项 。 


文 付 和 清算 


利用 这 个 BuyPortfolio 指 令 交 易 ， 你 可 以 对 不 同事 件 的 预测 组 合 进 
行 投资 下 注 。 以 未 来 币 作 价 ， 你 可 以 购买 每 个 事件 可 能 发 生 的 预测 结 
果 。 比 如 ， 我 们 下 注 2014 年 的 世界 杯 ，32 个 参赛 队 都 有 可 能 局 。 你 可 
以 用 一 个 未 来 币 购 买 32 个 份额 ， 每 个 队 一 个 份额 一 一 因为 最 终 只 有 一 
个 队 会 赢 ， 这 些 份额 的 总 价格 就 古 一 个 币 。 任 何 一 个 参与 者 都 可 以 单 


方面 地 创建 一 个 BuyPortfolio 指 令 而 无 须 一 个 对 手 交易 。 这 个 交易 实际 
上 是 利用 用 户 提供 的 一 个 未 来 币 的 消耗 ， 以 此 制造 出 一 个 新 的 份额 输 
入 ， 并 分 派 给 每 一 个 可 能 发 生 的 结果 。 还 有 一 个 交易 类 型 叫 作 
SellPortfolio, 你 可 以 卖 (或 消耗 ) 每 一 个 对 应 不 同 的 结果 的 份额 ， 以 此 
赎 回 一 个 未 来 币 。 未 来 币 和 每 一 个 结果 对 应 的 份额 可 以 进行 互 换 。 


你 可 以 用 份额 来 换 未 来 币 ， 只 要 可 以 找到 交易 对 手 ， 你 也 可 以 用 
一 种 份额 去 换 男 一 种 份额 。 下面 的 案例 束 更 加 有 趣 了 ， 你 可 以 用 一 个 
未 来 币 购买 每 一 种 可 能 发 生 的 结果 的 份额 ， 然 后 把 那些 你 认为 不 太 可 
能 发 生 结 来 的 份额 的 卖 挥 ， 对 于 那些 你 认为 没有 什么 机 会 获胜 的 球 
队 ， 你 可 以 把 相对 应 的 份额 卖 给 其 他 对 此 有 兴趣 的 人 。 一 旦 你 做 了 这 
些 ， 你 的 投资 组 合 束 不 再 是 每 个 队 均 分 的 ， 你 也 束 不 能 再 目 动 赎 回 一 
个 未 来 币 了 ， 取 而 代 之 的 是 ， 你 必须 要 等 到 最 后 的 结 末 出 来 之 后 才能 
赎 回 你 的 份额 一 一 如 果 你 所 押 的 球 队 没 有 最 终 获 胜 ， 你 可 能 什么 都 拿 
不 回来 。 男 一 方面 ， 你 也 可 以 直接 从 交易 中 获 利 。 你 可 以 购买 一 个 平 
衡 的 投 痪 组合， 等 得 价格 变化 ， 然 后 出 售 所 有 的 份额 以 换 回 更 多 的 未 
来 币 ， 这 些 未 来 币 可 以 用 来 和 比特 币 或 者 其 他 货币 进行 兑换 。 


预测 市 场 的 仲裁 


如 何 用 去 中 心 化 的 方法 来 实现 仲裁 呢 ? 如 何 做 出 判断 并 宣布 胜 者 
和 定价 ， 然 后 胜 者 可 以 赎 回 他 们 所 赢得 的 份额 ? 最 简单 的 系统 就 是 找 
一 个 信得过 的 仲裁 员 ， 也 整 是 上 面 所 说 的 CreateMarket。 任何 参与 者 部 
可 以 发 起 组 织 一 个 市 场 ， 在 这 个 市 场 里 他 惑 是 仲裁 员 《或 是 指定 某 人 
为 仲裁 员 ) 。 他 们 可 以 创建 一 个 交易 ， 然 后 宣布 发 起 组 成 了 一 个 市 场 
去 预测 世界 杯 的 比赛 结果 ， 他 们 会 决定 谁 是 最 后 的 获胜 者 ， 如 果 你 相 
信 他 们 ， 你 就 可 以 接受 他 们 在 CloseMarket 交 易 上 的 签名 作为 最 后 判决 
的 依据 。 


就 像 其 他 的 市 场 一 样 ， 我 们 可 以 想象 ， 经 过 一 段 时 间 后 ， 有 些 实 
体 慢 慢 地 建立 声誉 并 成 了 可 信任 的 仲裁 者 。 然 后 它们 就 会 主动 维护 它 
们 有 价值 的 声誉 并 做 出 公正 的 仲裁 。 但 是 ， 一 旦 潜在 的 获 利 大 于 其 声 
誉 价值 ， 丈 会 存在 风险 ， 也 束 古 它们 有 可 能 会 去 操纵 一 个 预测 来 获取 
巨额 收益 ， 这 对 预测 市 场 而 言 是 非常 危险 的 。 举 例 来 说 ， 在 世界 杯 的 
预测 市 场 里 ， 即 使 阿根廷 队 事实 上 和 输 掉 了 比赛 ， 但 是 仲裁 者 还 是 有 可 
能 宣布 阿根廷 队 获胜 。 如 采 仲 裁 贿 目 己 天 了 大 量 的 阿根廷 队 获 胜 的 份 
额 ， 他 可 能 会 通过 操纵 这 个 结果 顾 足 够 多 的 钱 ， 而 不 在 乎 哎 挥 他 的 名 


沦 。 


FF 


我 们 可 以 有 一 个 更 加 去 中 心 化 的 仲裁 系统 吗 ? 一 个 选择 是 设 定 多 
个 仲裁 兰 ， 然 后 基于 多 数 人 的 决定 做 出 判决 ， 或 者 基于 投票 结 采 
要 么 由 所 有 在 市 场 上 拥有 份额 的 用 户 进行 投票 ， 或 者 由 加 密 数 字 货 
的 矿工 进行 投票 ， 这 些 投票 方案 通常 也 会 要 求 对 投 少数 票 的 人 进行 相 
应 地 您 昼 。 但 这 些 方法 都 有 很 多 问题 ， 所 以 我 们 也 不 知道 它们 在 实际 
运用 中 是 否 可 行 。 


现实 是 复杂 的 。 除 了 仲裁 者 可 能 作假 的 问题 之 外 ， 事 件 结 采 的 判 
断 也 可 能 存在 和 争议。 我 们 最 喜欢 的 一 个 案例 束 是 2014 年 的 超级 硫 比 
赛 ， 超 级 碗 上 有 一 个 传统 ， 胜 利 的 球 队 会 将 一 桶 佳 得 乐 (Gatorade) 饮 
料 倒 在 他 们 主教 练 的 关上 “。 人 们 想 要 去 对 获胜 球 队 用 来 庆祝 的 佳 得 乐 
的 颜色 进行 预测 ， 这 种 预测 市 场 由 来 已 信 。 在 2014 年 ， 预 测 结 果 包 括 
黄色 、 桦 色 和 其 他 佳 得 乐 馅 料 所 有 的 颜色 。 但 是 在 那 一 年 ， 一 个 前 所 
未 有 的 结果 出 现 了 ， 很 难 去 决定 最 终 的 结果 是 什么 。 当 海 麻 队 
(Seahawks) 获胜 的 时 候 ， 球 员 们 把 一 桶 橙色 的 佳 得 乐 倒 在 了 主教 练 
彼得 : 卡 罗 尔 (Peter Carroll) 的 头 上 ， 仅 仅 过 了 一 会 儿 ， 另 外 一 些 球员 
又 倒 了 另外 一 桶 黄色 的 佳 得 乐 。 


如 果 你 主持 了 这 么 一 个 预测 佳 得 乐 颜色 的 预测 市 场 ， 你 会 有 怎 么 处 
理 这 个 情况 ? 最 终结 果 应 该 是 楼 色 ， 还 是 黄色 ， 还 是 两 个 都 算 ? 实际 
情况 是 ， 好 几 个 体育 博彩 服务 提供 商 为 了 保持 自己 的 声誉 ， 即 使 他 们 


办 此 而 损失 一 些 金钱 ,但 为 了 获取 客户 对 他 们 的 信任 ， 还 是 决定 文 付 
奖金 给 所 有 预测 杰 色 和 黄色 的 用 户 。 


当然 ， 在 一 个 去 中 心 化 的 市 场 里 ， 这 种 做 法 并 不 容易 ， 因 为 你 不 
可 能 无 中 生 有 地 创造 出 更 多 的 资金 去 文 付 两 种 结果 的 顾家 ， 很 可 能 是 
仲裁 者 让 预测 楼 色 和 黄色 的 双方 平分 奖金 ， 最 终 这 两 种 份额 的 价格 都 
会 变 成 0.5 而 不 是 1.0。 为 了 避免 这 种 复杂 情况 ， 你 可 以 一 开始 在 合约 里 
定义 清楚 ， 但 是 你 不 可 能 确保 你 能 考虑 到 所 有 的 可 能 性 。 这 个 案例 让 
我 们 深刻 地 意识 到 ， 仲 裁 是 个 社会 问题 ， 通 过 技术 手段 是 无 法 完美 地 
解决 这 个 问题 的 。 


实时 数据 供给 


仲裁 这 个 概念 引导 出 一 个 更 加 广义 的 概念 : 扩展 虚拟 货币 的 功能 
来 宜 告 现实 社会 里 的 事实 。 我 们 称 之 为 实时 数据 供给 。 一 个 典型 的 预 
测 市 场 的 事件 的 事实 ， 比 如 谁 大 了 选举 、 某 只 股票 或 者 某 个 大 宗 商 品 
的 当天 价格 或 现实 世界 里 有 价值 的 数据 。 只 要 比特 币 里 有 了 这 些 数 
据 ， 脚 本 语言 束 可 以 将 其 作为 输入 。 比 如 ， 一 个 脚本 可 以 将 现货 金属 
铜 的 价格 加 载 在 堆栈 里 ， 然 后 据 此 价格 做 出 决策 。[1] 


只 要 存在 一 个 值得 信任 的 实时 数据 供给 ， 我 们 就 可 以 对 体育 比赛 
结果 或 是 期 货 市 场 的 价格 进行 预测 投资 和 目 动 结算 。 预 测 市 场 只 是 其 
中 一 个 应 用 而 已 。 你 可 以 通过 对 相反 的 两 个 结 末 部 进行 预测 投资 ， 以 
实现 在 你 的 投资 组 合 里 加 入 风险 对 冲 。 你 还 可 以 派生 出 一 些 金融 衍生 
产品 ， 比 如 目前 金融 市 场 上 和 常见 的 远 期 合约 和 期 货 合 约 。 如 来 这 些 部 
能 通过 比特 币 来 实现 ， 写 不 古 更 好 ? 


我 们 可 以 把 如 何在 比特 币 (或 是 其 他 男 类 币 ) 里 用 技术 手段 来 表 
现 现 实 社 会 事实 这 个 问题 ， 和 我 们 如 何 建 立 对 数据 供给 的 正确 性 的 信 


心 这 个 社会 问题 分 离开 来 。 


一 个 聪明 的 把 数据 供给 编码 到 比特 币 的 方法 叫 作 现实 密 钥 (reality 
keys)。 在 这 个 系统 里 ， 仲 裁 者 制造 出 一 对 密 钥 ， 并 用 该 密 钥 对 他 们 所 
感 兴趣 的 所 有 事件 的 所 有 结果 进行 和 企 名 。 一 个 蜜 钥 代 表 “ 是 "， 必 一 个 代 
表 “ 否 ”。 他 们 在 注册 登记 事件 的 时 候 移 发 表 公 钥 ， 然 后 当 结 采 确定 的 时 
候 ， 再 发 表 那 一 对 密 钥 里 的 私 铀 。 如 采 爱 丽 丝 和 鲍 饭 共同 对 一 个 事件 
进行 预测 ， 他 们 可 以 把 各 自 的 保证 金发 送 到 一 个 比特 币 输出 ， 爱 丽 丝 
可 以 使 用 她 目 己 的 私 铀 和 “是 ”这 个 密 钥 进行 联合 签名 以 提取 这 个 天 人 金 ， 
鲍 动 可 以 使 用 他 目 己 的 私 钥 和 “ 否 ” 这 个 密 钥 进行 联合 签名 近 取 。 这 就 很 
好 地 实现 了 公正 地 使 用 数据 供给 作为 脚本 输入 的 目标 ， 使 得 上 述 预 测 
保证 金 的 应 用 得 以 实现 。 值 得 注意 的 是 ， 仲 裁 者 不 需要 知道 ， 也 无 须 
参与 到 爱丽 丝 和 鲍 动 之 间 的 特定 预测 体 证 金 中 去 。 


; 


父 马 交 托 


预测 市 场 的 最 后 一 个 重要 环节 是 一 个 去 中 心 化 的 交易 委托 ， 这 也 
征 一 个 通用 概念 ， 如 果 能 实现 ， 将 会 使 很 多 的 应 用 设想 变 为 可 能 。 区 
易 委 托 是 什么 呢 ? 在 一 个 真实 的 预测 市 场 里 ， 或 者 是 大 多 数 金 融 市 场 
里 ， 并 没有 一 个 统一 的 市 场 价 ， 通 常 在 交易 委托 中 会 有 买 入 价 (bid) 
和 卖 出 价 (ask) 两 种 ， 买 入 价 是 指 愿意 购买 份额 的 参与 者 所 出 的 最 高 
价 ， 卖 出 价 则 是 愿意 出 售 份额 的 参与 者 所 出 的 最 低 价 。 通 常 卖 出 价 会 
大 于 买 入 价 (否则 市 场 束 会 对 此 进行 振 合 ， 至 少 其 中 的 一 个 交易 委托 
将 不 会 出 现在 列表 中 ) 。 一 个 想 要 购买 份额 的 参与 者 可 以 立刻 以 卖 出 
价 购 买 ， 而 一 个 想 要 出 售 的 参与 者 则 可 以 立刻 以 天 入 价 出 售 ， 这 个 交 
易 被 称 为 "市价 委托 >， 对 应 于 “ 限 价 委托 " 一 一 交易 委托 被 设 定 为 一 个 特 
定 的 价格 挂 在 交易 委托 列表 中 ， 这 些 交 易 委 托 将 会 按照 限定 的 价格 
(或 者 高 于 限定 的 价格 ) 执行 。 


通常 这 是 由 一 个 中 心 化 的 交易 委托 服务 提供 商 (通常 是 一 个 交易 
所 ) 来 实现 的 。 但 问题 是 ， 就 像 许 多 中 心 化 的 服务 所 面临 的 问题 一 
样 ， 如 琳 这 个 交易 所 不 诚实 的 话 ， 它 可 以 通过 损害 用 户 的 利益 来 获 
利 。 比 如 ， 一 个 交易 所 收 到 了 一 个 买单 ， 它 们 目 己 可 以 先 在 最 好 的 卖 
出 价 的 时 候 下 单 买 入 ， 然 后 马上 再 在 高 位 卖 出 ， 赚 取 中 间 的 差额 。 这 
也 叫 作 预 移交 易 (frontrunning) ， 指 的 是 交易 商 利 用 得 知客 户 买 卖 证 
鲫 动 同 的 机 会 ， 抢 在 客户 发 出 买卖 指令 之 前 为 件 取 利益 而 进行 交易 的 
违规 行为 (例如 在 股票 大 量 交 易 前 ， 在 期 权 或 期 货 市 场 进行 相应 交 
易 ) ， 这 是 一 种 金融 犯罪 行为 。 中 心 化 的 交易 委托 需要 执法 部 门 来 监 
管 ， 来 防止 这 种 预先 交易 的 行为 ， 以 确保 系统 诚信 的 公信 力 。 


在 一 个 去 中 心 化 的 交易 委托 里 ， 我 们 不 能 依赖 强 有 力 的 执法 音 
1]。 但 还 是 有 一 个 较 好 的 解决 万 案 : 我 们 不 再 将 预 完 交 易 称 为 犯 徘 ， 
然后 再 想 办 法 去 防范 ， 我 们 称 之 为 一 个 特性 。 这 个 想法 是 ， 任 何人 都 
可 以 通过 广播 交易 的 办 法 把 限 价 委托 提交 给 矿工 ， 只 要 天 入 价 比 卖 出 
价 高 或 者 相同 ， 矿 工 避 ® 能 够 振 合 两 个 交易 。 这 个 矿工 只 需 把 两 者 之 间 
的 老 额 留 下 作为 交易 费 即 可 。 这 样 一 来 ， 丰 工 束 没 有 动机 去 做 所 谓 的 
预先 交易 ， 因 为 与 此 相 比 ， 预 完 交 易 不 可 能 赚 得 更 多 。 


这 是 一 个 很 简练 地 建立 去 中 心 化 的 委托 交易 的 办 法 。 其 最 大 的 缺 
点 是 交易 着 必 须 文 付 给 矿工 费用 。 为 了 避免 文 付 这 种 交易 费 ， 交 易 着 
们 可 能 会 提交 偏 癌 保守 的 交易 委托 ， 不 会 在 开始 时 束 透 露 他 们 愿意 成 
交 的 最 高 或 者 最 低 价位 ， 这 会 使 得 市 场 变 得 不 是 很 有 效率 。 我 们 现在 
还 不 知道 ， 这 种 让 矿工 撮合 交易 的 交易 委托 方法 在 现实 操作 中 是 否 可 
行 ， 但 看 上 去 这 是 个 不 错 的 主意 。 


总 结 一 下 ， 现 在 比特 币 可 以 作为 很 多 种 应 用 的 平台 ， 但 对 于 某 些 
应 用 ， 比 特 币 也 没有 更 好 的 发 展 了 ， 比 如 ， 对 于 实现 一 个 安全 的 去 中 
心 化 的 预测 市 场 ， 或 者 是 一 个 去 中 心 化 的 交易 委托 系统 ， 比 特 币 并 未 
提供 所 要 求 的 全 部 特性 。 但 假如 我 们 从 头 开始 ， 环 掉 硬 分 又 或 是 软 分 
义 ， 起 挥 对 比特 币 增加 新 功能 所 过 到 的 挑战 ， 那 勾当 如 何 呢 ? 目 2008 


年 比特 币 面世 以 来 ， 我 们 对 比特 币 有 了 越 来 越 多 的 理解 和 认识 ， 为 什 
么 我 们 不 可 以 设计 一 个 全 新 的 更 好 的 数字 货币 呢 ? 

我 们 将 在 下 一 章 讨 论 已 经 党 试 这 么 做 的 另类 币 概念 ， 我 们 将 会 探 
讨 所 有 有 前 途 的 想法 以 及 开发 一 个 全 痢 的 加 密 数 字 货 币 所 面临 的 挑 
战 。 


延伸 阅读 


我 们 看 过 的 两 种 文件 的 项 目 材 料 和 说 明 书 ， 可 以 参与 交易 对 手 方 
条 球 说 明 。 您 可 以 通过 如 下 网 址 阅读 : 


https://github.com/CounterpartyXCP/Documentation/blob/master/Deve 
lopers/protocol]_specification.md. 


OpenAssets Protocol 可 通过 如 下 网 址 阅读 : 
https://github.com/OpenAssets/open-assets-protocol. 


我 们 描述 过 的 安全 多 方 抽 奖 协 定 (The secure multiparty lottery 
protocol) 可 以 参阅 如 下 论文 : 


Andrychowicz, Marcin, Stefan Dziembowski, Daniel Malinowski, and 
Lukasz Mazurek.“Secure Multiparty Computations on Bitcoin.”Presented at 
the 2014 IEEE Symposium on Security and Privacy, San Jose, CA, 2014. 


您 可 以 通过 如 下 网 址 阅读 : 
https://eprint.iacr.org/2013/784.pdf. 


经 济 学 家 们 预测 市 场 的 能 力 的 研究 ， 请 参阅 如 下 论文 : 


Wolfers, Justin, and Eric Zitzewitz.“Prediction Markets.” Paper 
w10504. Cambridge, MA:National Bureau of Economic Research, 2004. 


Arrow, Kenneth J., Robert Forsythe, Michael Gorham, Robert Hahn, 
Robin Hanson, et al.“The Promise of Prediction Markets.” Science 320, 
2008. 


我 们 讨论 过 的 预测 市 场 设计 的 相关 内 容 ， 可 以 参阅 如 下 论文 (由 
多 位 作者 合 著 ) : 

Clark, Jeremy, Joseph Bonneau, Edward W. Felten, Joshua A. Kroll, 
Andrew Miller, and Arvind Narayanan.“On Decentralizing Prediction 


Markets and Order Books.”Presented at the Workshop on the Economics of 
Information Security, State College, PA, 2014. 


您 可 以 通过 如 下 网 址 阅读 : 


http:/www.jbonneau.com/doc/CBEKMN14-WEIS- 
decentralizing_prediction_markets.pdf. 


[1] 技术 细节 请 参阅 第 3 章 相 关内 容 。 一 一 译 者 注 


第 10 章 
另类 币 和 加 密 货 币 生 态 系统 


比特 币 ， 尽 管 是 非常 重要 的 组 成 部 分 ， 但 它 只 是 范围 更 广泛 的 数 
字 生 态 系统 中 的 一 种 ， 该 生态 系统 的 其 他 货币 也 与 比特 币 相似 ， 我 们 
称 之 为 另类 币 。 本 章 中 ， 我 们 将 探讨 另类 币 及 加 密 货币 生态 系统 


(cryptocurrency ecosystem) 。 


10.1 必 类 币 的 历史 和 诱因 


2009 年 1 月 ， 比 特 币 诞生 。2011 年 年 中 ， 还 未 到 两 年 ， 第 一 个 基于 
比特 币 的 衍生 货 域名 币 就 出 现 了 。2013 年 ， 另 类 币 出 现 爆炸 式 
增长 ， 迄 今 为 止 已 有 数 百 个 〈 见 图 10.1) 。 由 于 没有 明确 的 统计 标准 ， 
我 们 无 法 给 出 确切 的 数字 。 举 个 例子 ， 如 采 有 人 宣布 创造 了 一 种 改 关 
币 ， 可 能 也 公开 了 源 代码 ， 但 无 人 挖 矿 也 无 人 使 用 ， 这 种 货币 是 否 需 
要 纳入 统计 艺 围 ? 此 外 ， 有 些 必 类 币 ， 在 其 诞生 初期 和 十 有 人 使 用 的 ， 
但 后 来 很 快 就 无 人 问津 了 ， 这 类 货币 是 否 也 需要 纳入 统计 范围 ? 


而 且 ， 我 们 也 不 清楚 如 何 区 分 男 类 币 和 传统 数 子 加 密 货 币 。 早 在 
比特 币 出 现 之 前 ， 丈 有 多 种 数 子 加 密 货币 的 方案 和 系统 ， 这 些 货币 并 
不 能 称 作 男 类 币 。 许 多 另类 币 借 用 了 比特 币 的 概念 ， 它 们 通常 是 直接 
复制 其 基础 代码 或 是 使 用 部 分 代码 。 有 些 只 对 比特 币 做 了 极 小 的 改 
动 ， 例 如 只 改变 一 些 系统 参数 值 ， 保 留 比 特 币 开发 者 后 续 所 做 的 所 有 
变更 。 和 截至 目前 ， 所 有 已 知 的 兄 类 币 都 是 从 一 个 痢 的 创 世 区 块 开始 ， 
都 有 目 己 独特 的 交易 历史 ， 而 不 是 从 比特 币 历 史 交 易 记录 中 的 某 个 区 
块 进行 分 又 ， 进 而 演化 出 自己 体系 的 。 为 了 研究 和 学 习 ， 我 们 并 不 需 
要 男 类 币 的 精确 的 定义 ， 而 是 把 将 所 有 在 比特 币 之 后 诞生 的 加 密 货 
溪 统 地 称 为 另类 币 。 


2009 2010 2011 2012 2013 2014 年 份 


图 10.1 每 月 创造 的 另类 币 量 
注 : 仅 指 通过 创 世 区 块 创建 的 另类 币 。 


我 们 将 简要 提 一 下 非 男 类 币 系 统 ， 如 瑞 波 公司 (Ripple) 和 恒星 公 
司 (Stellar) ， 它 们 属于 第 2 章 中 所 介绍 的 传统 分 布 式 共识 协议 。 这 类 
系统 为 了 达成 共识 ， 模 型 中 每 个 节点 都 有 上 自己 的 标记 并 且 和 需要 知道 其 
他 节点 的 标记 。 当 然 ， 比 特 币 建立 共识 的 模型 与 此 截然 不 同 。 在 瑞 波 
公司 和 恒星 公司 中 ， 共 识 协 议 文 持 文 付 清 算 网 络 并 且 在 每 个 体系 中 有 
其 目 己 的 货币 。 尽 管 这 些 特性 和 另类 币 类 似 ， 但 在 本 书 中 并 未 将 它们 
作为 男 类 币 考 虑 。 


发 行 男 类 币 的 原因 


每 种 另类 币 都 有 自己 的 故事 。 一 种 另类 币 之 所 以 存在 ， 就 是 因为 
它 有 别 于 其 他 另类 币 的 特点 。 最 简单 的 情况 下 ， 一 种 另类 币 只 是 修改 
比特 币 内 置 的 参数 ， 比 如 修改 区 块 的 平均 时 间 间 隔 、 区 块 大 小 限制 、 
创造 回报 的 计划 和 货币 的 通货 膨胀 率 等 。 


当然 也 有 更 复杂 的 技术 上 的 差异 ， 这 种 情况 更 有 趣 。 例 如 ， 可 以 
对 脚本 语言 进行 扩充 以 增加 交易 种 类 和 安全 属性 ， 可 以 采用 与 比特 币 
完全 不 同 的 挖 矿 方式 以 及 共识 算法 (consensus algorithm) 。 


有 时 ， 为 了 文 持 一 个 主题 或 者 社区 ， 通 党 是 需要 给 社区 中 的 成 员 
赋予 一 个 特定 的 角色 或 权限 ， 台 会 有 一 种 比特 币 被 创造 出 来 。 本 章 将 
在 最 后 的 部 分 研究 此 类 相关 案例 。 


如 何 创造 一 个 大 类 币 


我 们 首先 考虑 一 下 另类 币 在 创建 过 程 中 及 创建 后 所 涉及 的 内 容 。 
正如 前 文 提 到 的 ， 创 造 一 个 另类 币 束 是 建立 一 个 全 新 的 参照 体系 ， 最 
常见 束 古 通过 复制 修改 现存 的 成 熟 男 类 币 或 者 比特 币 本 身 。 最 容易 的 
部 分 就 是 加 一 些 技术 特色 或 者 修改 一 些 参数 使 之 更 好 用 。 曾 经 有 一 个 
网 站 coingen.io， 只 收取 一 些 费 用 ， 束 会 目 动产 生 一 个 男 类 币 。 你 只 需 
要 目 己 设 定 各 种 参数 ， 比 如 区 块 产生 的 平均 时 间 、 需 要 的 工作 量 证 明 
算法 、 另 类 币 的 名 字 以 及 3 个 字母 的 货币 代码 和 标志 。 完 成 设置 后 ， 只 
要 轻 轻 点 击 鼠 标 ， 束 能 下 载 一 份 根据 你 的 需要 修改 的 比特 币 源 代码 ， 
你 就 拥 有 了 目 己 的 男 类 币 ， 接 下 来 你 束 可 以 和 别人 蕊 上 开始 运用 这 个 
男 类 币 了 。 男 类 币 最 困难 的 部 分 在 于 如 何 让 别人 逐步 接受 并 使 用 你 的 
男 类 币 。 通 过 复制 并 修改 源 代码 ， 你 可 以 对 外 发 布 新 的 男 类 币 ， 在 刚 
诞生 时 ， 没 有 人 会 使 用 这 个 货币 ， 由 于 没有 人 想 拥有 这 个 货币 ， 因 此 
它 毫 无 价值 ， 又 由 于 没有 挖 矿 的 人 ， 它 也 不 安全 。 本 书 第 7 章 ， 我 们 介 
绍 过 比特 币 系统 的 利益 相关 者: 开发 者 、 矿 工 、 投 资 痢 、 商 家 、 客 户 
和 支付 服务 商 。 最 终 ， 为 了 让 你 的 另类 币 形成 规模 ， 你 需要 吸引 这 些 
参与 人 加 入 这 个 货币 的 生态 图 中 。 


另类 币 的 这 些 相 关 群 体 都 是 非常 重要 的 ， 而 且 它 们 相互 关联， 这 
与 创建 并 推广 一 个 平台 非常 类 似 。 比 如 ， 创 建 一 个 智能 手机 操作 系 
统 ， 束 需要 用 户 、 设 备 制 造 商 、 手 机 软件 开发 者 和 其 他 重要 的 利益 相 
关 者 共同 参与 ， 同 时 每 个 角色 都 需要 群体 中 的 其 他 人 的 参与 。 


在 另类 币 中 ， 吸 引 矿工 对 另类 币 来 说 特别 重要 ， 因 为 如 果 没 有 足 
够 的 哈 希 算 力 做 支持 ， 双 重 支付 和 复制 修改 代码 就 很 可 能 会 发 生 ， 男 
类 币 的 安全 性 就 无 从 谈 起 。 事 实 上 ， 这 种 货币 可 能 会 彻底 崩 演 ， 本 章 
10.4 广 中 将 会 讨论 “ 男 类 币 天 折 ” (altcoin infanticide) 。 没 有 一 个 简单 的 
方法 可 以 吸引 大 和 家 接受 并 逐步 推广 使 用 另类 币 ， 但 是 通常 来 说 ， 当 矿 
工 感 觉 到 货币 回报 值得 他 们 付出 时 ， 他 们 就 会 加 入 。 为 了 吸引 矿工 ， 
很 多 另类 币 都 给 早期 矿工 比较 丰厚 的 回报 。 比 特 币 显 然 是 最 早 采用 这 
种 策略 的 ， 后 来 很 多 另类 币 采 用 了 更 加 激进 的 激励 措施 来 吸引 早期 矿 
下 


而 最 困难 的 工作 ， 是 让 一 个 社区 的 人 相信 这 个 另类 币 有 价值 。 正 
如 我 们 在 第 7 章 讨论 过 的 ， 即 便 对 比特 币 来 说 ， 我 们 也 不 是 特别 清楚 这 
个 过 程 是 如 何 目 举 的 。 这 依赖 仙子 效应 ， 从 而 实现 目 我 增强 ， 让 人 们 
相信 它 有 价值 的 过 程 是 如 何 实现 的 。 这 融 回 到 我 们 一 开始 提 到 的 ， 另 
类 币 需 要 有 一 个 好 的 故事 ， 才 能 让 人 相信 这 个 新 的 另类 币 将 来 会 有 价 
值 ， 或 者 是 相信 其 他 人 会 认为 这 个 有 价值 。 如 琳 一 个 社区 对 获取 男 类 
币 感 兴趣 ， 矿 工 就 会 参与 进来 。[ 直 只 要 价值 被 认可 ， 其 他 重要 的 元 素 
束 会 显现 ， 比 如 在 交易 所 交易 以 及 从 开发 区 块 链 的 工具 ， 到 游说 团体 
开发 的 各 种 辅助 设施 和 服务 。 


拉 高 出 贷 骗 术 (pump-and-dump scams) 


当 一 种 另类 币 的 创始 人 成 功 地 促成 一 个 活跃 的 货币 社区 和 一 个 真 
正在 运作 的 交易 市 场 时 ， 他 们 就 会 楼 得 非常 富有 。 几乎 可 以 肯定 的 
古 ， 他 们 拥有 很 多 这 类 货币 。 这 种 货币 可 能 来 源 于 ， 在 系统 运行 最 
初 ， 哈 希 算 力 还 不 是 很 高 的 时 候 所 挖 的 货币 ， 或 者 是 类 似 接 下 来 要 讨 
论 的 ， 在 还 未 挖 矿 之 前 获得 的 预先 分 配 的 货币 。 一 旦 男 类 币 的 交换 价 
值 提高 了 ， 创 始 人 就 可 以 选择 卖 掉 他 们 的 货币 。 


一 夜 致 襄 的 可 能 性 ， 极 大 地 吸引 了 有 雄心 的 创业 着 和 风险 投资 基 
金 ， 毫 不 意外 地 也 吸引 了 统 子 。 事 实 上 ， 我 们 很 难 区 分 独子 和 创业 
者 。 饥 子 可 能 会 使 用 各 种 方法 ， 来 全 大 一 种 另类 币 的 次 在 和 未 来 收 
益 。 他 们 可 能 会 炒作 它 的 技术 优点 ， 伪 造 砌 层 文 持 的 假象 ， 在 市 场 上 
推 高 男 类 币 价格 等 。 


事实 上 ， 其 至 连 非 创始 人 都 可 以 设计 这 样 的 骗局 。 他 们 可 以 先 买 
入 大 量 还 未 出 名 的 男 类 币 ， 然 后 说 服 大 众 相 信 该 货币 还 有 未 实现 的 增 
值 潜力 (也 就 是 “ 拉 高 ?) 。 如 果 成 功 地 拉 高 了 货币 的 价格 ， 他 们 就 可 以 
通过 卖 出 获 利 (也 就 是 “抛售 *") 。 此 时 ， 很 多 理智 的 投资 者 可 能 会 意识 
到 这 十 个 饥 局 ， 然 后 币值 出 现 断 炭 式 下 跌 ， 寻 致 很 多 当初 购买 的 人 最 
终 血 本 无 归 ， 只 剩 下 毫 无 价值 的 货币 。 这 种 拉 高 出 货 的 绝 局 ， 在 操纵 
不 知名 的 低 价 股票 的 主流 金融 业务 中 很 常见 ， 在 男 类 币 的 发 展 早 期 也 
很 普遍 ， 那 时 候 用 户 热 情 高 涨 ， 投 资 者 也 无 法 分 辨 到 拼 哪 一 种 男 类 而 
年 真正 具有 创新 性 的 ， 哪 一 种 生 依 靠 吃 头 和 推广 ， 但 实际 是 过 无 真正 
价值 的 。 这 也 导致 ， 截 至 目前 ， 用 户 和 投资 着 都 大 烦 了 为 类 币 。 


急 始 分 配 


在 比特 币 体 系 中 ， 货 币 只 能 以 挖 矿 的 方式 分 配给 用 户 。 但 是 在 其 
他 男 类 币 体 系 里 ， 出 于 各 种 考量 ， 除 挖 矿 以 外 ， 开 发 者 们 还 使 用 其 他 
方法 对 货币 进行 初始 分 配 。 


开发 者 可 以 预先 分 配 货 币 ， 也 就 是 说 ， 先 预 留 一 部 分 货币 给 目 己 
或 者 其 他 特定 团体 (比如 预 留 给 开发 该 货币 的 非 营 利 性 组 织 ) 。 用 这 
个 额外 的 收获 ， 去 激励 开发 者 花费 时 间 精 力 去 创造 和 激活 一 个 新 的 加 
密 货 币 。 有 时 候 ， 也 可 能 会 采取 更 激进 的 激励 方式 ， 即 可 以 对 货币 进 
行 预 售 ， 也 殊 古 把 这 些 货币 预先 卖 给 其 他 投机 着 ， 换 取 比 特 币 或 者 现 


实 中 的 货币 。 这 有 点 像 投 资 初 创 企业 : 如 果 投 资 的 另类 币 成 长 起 来 ， 
投机 者 融会 获得 大 量 财富 。 


寻求 各 种 预 分 配方 法 的 妇 外 一 种 动机 和 是， 确保 早 期 的 货币 拥有 者 
来 目 多 个 社区 ， 并 且 他 们 与 货币 成 功 的 利益 相关 。 如 采矿 工 太 为 集 
中 ， 束 会 造成 资产 持 有 过 度 集 中 ， 这 不 利于 货币 的 发 展 壮大 。 一 种 比 
入 聘 明 的 分 歼 所 有 权 的 做 法 ， 束 古 把 男 类 币 发 给 现 有 的 比特 币 用 户 。 


在 技术 上 如 何 做 到 这 一 点 ， 即 让 比特 币 用 户 可 以 自动 地 分 配 ， 并 
拥有 另类 币 ? 一 种 办 去 是 通过 第 3 章 谈 到 过 的 : 销毁 证 明 ”: 用 户 只 要 证 
明 他 们 销毁 了 一 定 比例 的 比特 币 ， 束 能 要 回 一 个 单位 新 的 另类 币 。 用 
户 需要 在 销毁 的 时 候 提供 数据 证 明 ， 比 如 特殊 的 字符 串 来 识别 某 个 另 
类 币 ， 这 样 就 可 以 说 明 他 们 销毁 比特 币 的 目的 ， 就 是 为 了 获取 这 个 新 
的 另类 币 ( 见 图 10.2) 。 


通过 “销毁 证 明 ? 来 分 配 另 类 币 ， 也 叫 作 * 单 癌 挂 钧 ?或 者 “价格 上 
限 ”。 另 类 币 可 以 一 对 一 地 配对 比特 币 ， 并 不 意味 着 两 者 价值 相同 。 这 
样 的 配对 ， 确 保 另 类 币 最 多 值 1 个 比特 币 。 因 为 ，1 个 比特 币 可 以 换 1 个 
另类 币 ， 但 是 反 过 来 不 行 。 


比特 币 区 块 链 


尺 类 币 区 块 链 


图 10.2 通过 “销毁 证 明 ” 分 配 另 类 币 

注 : 另类 币 提供 一 个 以 比特 币 操作 为 输入 的 生成 货币 (GenCoin) 的 指令 。 生 成 货币 的 签名 用 

到 的 私 铀 ， 和 签 销毁 证 明 的 私 钥 是 一 样 的 〈 签 名 的 机 制 也 一 样 ) 。 这 样 就 能 保 证 ， 销 毁 比 特 币 

。 用 户 ， 同 时 创造 了 新 生成 货币 。 如 果 汇 兑 比例 是 1 1 那么 另类 币 的 价值 w 不 大 于 比特 
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二 


也 可 以 有 一 些 相对 没 那么 复杂 的 做 法 : 要 求 用 户 提供 拥有 比特 币 
的 证 明 ， 但 无 须 销毁 比特 币 ， 也 以 获得 新 币 。 具 体 来 说 ， 另 类 币 体 系 
会 指定 一 个 比特 币 区 块 高 度 〈 也 许 刚 好 惑 是 另类 币 诞生 时 的 长 度 ) 
在 这 个 高 度 的 区 块 里 ， 任 何人 拥有 还 没 伦 掉 的 比特 币 ， 束 可 以 按 比 例 
得 到 同样 数量 的 另类 币 ( 见 图 10.3) 。 通 过 这 种 方式 ， 比 特 币 和 另类 币 
的 价格 束 无 须 固定 ， 毕 况 比 特 币 并 没有 通过 销 虹 证 明 来 “转换 ”成 为 妨 类 
币 。 


比特 币 区 块 链 | 


另类 币 区 块 链 


输出 1: 地 址 B; 价值 vj 
输出 2: 地 址 C; 价值 v， 


图 10.3 通过 证 明 比 特 币 的 所 有 权 来 分 配 另 类 币 

注 ， 生 成 货币 的 输入 ， 是 特定 区 块 高 度 下 一 个 或 者 多 个 没 用 过 的 比特 币 交易 输出 。 就 像 正 常 的 
比特 币 操作 一 样 ， 这 些 都 是 通过 控制 未 使 用 比特 币 的 私 钥 来 进行 签名 认证 的 。 图 中 的 比特 币 交 
易 有 两 个 未 用 过 的 交易 和 输出， 分别 为 特定 高 度 区 块 链 中 的 B 和 C 地 址 。B 地 址 的 用 户 换 了 另类 
5 ， 但 C 地 址 用 户 还 没 这 么 做 。 假 设 汇兑 比例 是 11， 新 另类 币 的 价值 为 w， 那 么 w 一 定 不 能 大 
于 B 的 比特 币 价值 v1 。 


| 


当然 ， 为 了 实现 这 种 分 配 ， 男 类 币 的 矿工 也 必须 时 刻 了 解 比特 币 
的 区 块 链 。 男 类 币 必 须 明 确 什 么 才 算 认定 的 比特 币 交 易 。 一 种 选择 是 
要 求 固定 的 确认 次 数 ， 比 如 6 次 。 男 外 的 一 种 选择 是 ， 在 每 个 男 类 币 的 
区 块 中 加 入 最 新 比特 币 区 块 。 这 样 ， 比 特 币 的 交易 立刻 可 以 在 另类 币 
体系 里 使 用 ， 而 不 需要 等 待 确认 。 这 就 类 似 在 比特 币 体系 中 ， 交 易 的 
输出 可 以 在 自身 或 者 下 一 个 区 块 中 使 用 。 我 们 将 在 下 一 节 讨 论 共同 控 
入” (merge mining) ， 一 种 把 比特 币 和 男 类 币 区 块 链接 起 来 的 方式 。 


最 后 一 种 方式 是 ， 把 已 经 分 配 好 的 货币 捐赠 出 去 ， 这 也 是 扩大 货 
币 用 户 多 样 性 的 一 种 办 法 。 一 种 方式 是 文 付 小 费 : 很 多 服务 允许 赠送 
小 费 给 电子 邮箱 或 者 社交 媒体 账 尸 ， 这 多 多 少 少 可 以 促进 接收 普 了 解 


并 参与 到 这 个 货币 体系 中 来 。 搂 受 方 收 到 信息 ， 得 知 他 的 托管 账户 存 
有 小 费 ， 然 后 通过 认证 邮件 地 址 或 者 社交 媒体 账号 可 以 取得 这 些小 
费 。 当 然 ， 为 获得 这 些小 费 ， 他 们 还 需要 安装 钱包 软件 ， 或 者 采用 其 
他 方式 。 男 外 一 种 可 以 称 作 “ 水 龙头 ”捐赠 方式 ， 即 任何 访问 特定 网 站 并 
输入 邮件 地 址 的 人 ， 都 可 以 获得 一 小 部 分 另类 币 。 


[1] 尽管 当 币 种 升值 快 于 控 矿 的 速度 时 ， 可 能 会 有 风险 。 一 一 译 者 注 


10.2 几 种 男 类 币 的 详细 介绍 


接 下 来 ， 我 们 重点 介绍 几 个 最 早 的 鸡 类 币 。 


域名 币 


本 书 已 经 介绍 过 比特 币 的 区 块 链 是 一 种 安全 的 全 球 数 据 库 ， 其 对 
写 入 的 数据 具有 防 禾 改 保护 ， 并 且 是 永久 的 。 那 么 是 否 可 以 修改 比特 
币 的 设计 ， 来 文 持 其 他 安全 的 全 球 数 据 应 用 〈 比 如 域名 系统 ) 呢 ? 


为 了 使 这 个 数据 库 在 非 货币 方面 的 应 用 更 加 有 效 ， 我 们 首先 需要 
明确 几 个 基本 原则 。 第 一 ， 把 录入 的 数据 视 为 域名 或 数值 对 
(name/value pairs) ， 域 名 是 全 球 唯一 的 。 这 束 可 以 使 任何 人 去 寻找 
可 映 喘 到 域名 的 数值 ， 就 像 哈 布 链 表 或 者 有 主 索 引 的 数据 库 一 样 。 为 
了 确保 域名 的 全 球 唯一 性 ， 如 果 域 名 和 数值 对 与 以 前 录入 的 相同 ， 则 
将 其 视 为 对 旧 数 据 的 更 新 而 非 新 的 数据 。 


第 二 ， 只 有 首次 录入 某 个 域名 的 使 用 者 ， 才 有 权限 更 新 这 个 域 
各。 这 很 容易 实现 ， 比 如 可 以 把 每 个 域名 与 比特 币 地址 联系 起 来 ， 且 
规定 必须 用 这 个 地 址 的 私 钥 ， 才 可 以 对 更 新 交易 签名 。 


比特 币 可 以 实现 上 述 功能 ， 正 如 第 9 草 中 所 述 ， 可 以 把 比特 币 作 为 
只 有 增添 功能 的 日 志 来 构建 本 加 货币 。 由 于 可 以 直接 把 这 些 协议 写 入 
规则 中 ， 其 他 另类 币 更 易于 实现 上 述 功能 。 而 且 ， 一 旦 矿工 执行 了 这 
些 规 则 ， 这 些 规 则 就 是 不 可 改动 的 ， 而 且 不 需要 每 个 使 用 者 (如 全 部 
节点 ) 自己 检查 并 判断 在 受到 侵犯 时 该 如 何 处 理 。 它 甚至 可 以 实现 类 
似 SPV 形 式 的 验证 : 一 个 轻 量 级 的 客户 端 可 同和 运行 全 节点 功能 的 服务 


器 提交 一 条 查询 (如 查 域 名 ) ， 服 务 器 则 会 返回 这 个 域名 项 的 数值 以 
及 相关 证 据 ， 用 以 证 明 返 回 的 数值 是 数据 库 中 最 新 的 数据 。 


上 文 位 要 介绍 了 域名 币 。 这 古 一 个 全 球 的 域名 /数值 商店 ， 在 这 个 
体系 中 ， 每 一 个 用 户 都 可 以 注册 一 个 或 者 多 个 域名 (需要 一 定 的 费 
用 ) ， 并且 可 以 更 新 他 们 拥有 的 域名 的 数值 。 用 户 同时 也 可 以 把 拥有 
的 域名 转 给 别人 。 事 实 上 ， 由 于 域名 转让 与 货币 转让 交易 不 可 分 割 ， 
你 可 以 在 把 域名 转 给 别人 的 时 候 ， 获 得 几 个 单位 的 域名 币 。 通 过 这 种 
方式 把 域名 卖 给 从 未 谍 面 并 且 未 建立 信任 关系 的 人 是 安全 的 。 虽 然 截 
至 2015 年 ， 域 名 币 还 无 法 文 持 安全 位 单 的 客户 并 ,但 是 文 持 这 个 扩张 
功能 的 提议 已 经 被 提出 来 了 。 


域名 币 的 目的 是 提供 一 个 去 中 心 化 的 域名 系统 DNS， 在 DNS 数据 
库 里 ， 名 字 即 域名 ， 数 值 对 应 IP 地 址 。 目 前 还 无 法 在 普通 浏览 器 里 默 
认 使 用 域名 币 ， 但 是 通过 下 载 相 关 插 件 ， 这 个 插件 就 会 在 域名 币 的 注 
及 系 统 而 非 传 统 的 DNS 中 查找 IP 地 址 ， 这 样 ， 用 户 就 可 以 在 像 火狐 
(Firefox) 或 者 酷 容 (Chrome) 此 类 的 浏览 器 中 访问 如 example.bit 这 
样 以 .bit 结 尾 的 域名 了 。 


域名 币 不 仅 在 技术 上 而 且 在 历史 地 位 上 都 是 很 值得 一 提 的 。 它 诞 
生 于 2011 年 4 月 ， 仅 比比 特 币 晚 两 年 ， 是 第 一 个 被 创造 出 的 另类 币 。 其 
特点 是 共同 挖 矿 ， 本 章 10.4 节 将 就 此 做 进一步 讨论 。 


截至 2015 年 ， 域 名 币 并 未 被 广泛 使 用 。 大 部 分 的 注册 域名 都 被 一 
些 投 机 者 抢先 注册 ， 他 们 希望 通过 卖 域名 获 利 〈 现 实 远 未 如 此 ) 。 文 
持 域 名 币 系 统 的 人 认为 ， 不 应 该 让 现 有 DNS 体 系 将 互联 网 核心 组 成 部 
分 的 控制 权 ， 过 多 地 交 由 单一 机 构 来 管理 。 可 以 想象 ， 这 种 观点 在 比 
特 币 社区 中 也 很 流行 。 但 是 主流 用 户 对 于 用 其 他 方式 来 奉 代 DNS 并 不 
热衷， 因此 ， 域 名 币 这 种 杀手 级 应 用 无 法 普及 。 


莱特 币 (Litecoin) 诞生 于 2011 年 ， 在 域名 币 之 后 。 在 过 去 的 几 年 
里 ,无论 是 从 综合 流行 程度 或 是 用 户 基 础 看 ， 有 莱特 币 都 是 男 类 币 中 的 
领头 卑 。 它 也 是 被 模仿 修改 最 多 的 货币 。 事 实 上 ， 沫 特 币 被 模仿 修改 
的 次 数 超过 了 比特 币 。 


莱特 币 和 比特 币 在 技术 上 的 主要 区 别 是 ， 莱特 币 用 的 是 第 8 章 讨 论 
过 的 基于 Scrypt 算 法 的 刚性 内 存 解 访 (memory-hard puzzles) 。 当 莱特 
币 出 现 的 时 候 ， 比 特 币 的 控 矿 还 在 GPU 时 代 ， 所 以 当时 莱特 币 使 用 刚 
性 内 存 解 认 ， 目 的 是 替代 GPU。 一 开始 发 行 时 ， 还 可 以 用 CPU 在 莱特 
币 中 控 矿 ， 虽 然 那 时 候 比 特 币 早已 无 法 使 用 CPU 来 控 矿 。 但 是 后 来 ， 
莱特 币 也 无 法 阻止 控 矿 的 层 层 升 级 ， 从 CPU 到 GPU 再 到 ASIC。 每 次 莱 
特 币 控 矿 的 升级 ， 都 比比 特 币 花费 的 时 间 更 长 。 其 中 原因 ， 也 许 是 因 
为 莱特 币 的 谜 题 ， 用 硬件 去 解 更 难 ， 或 者 由 于 莱特 币 币值 交换 比例 较 
低 ， 使 得 矿工 缺乏 动力 。 


不 管 是 何 种 原因 ， 从 CPU 升级 到 ASIC， 就 控 矿 功效 的 改进 效果 来 
看 ， 羔 特 币 与 比特 币 类 似 。 从 这 点 来 看 ， 莱 特 币 并 没有 达到 原先 设计 
的 目标 : 通过 维护 CPU 矿 工 社 区 ， 创 造 出 一 个 用 CPU 控 矿 的 分 布 式 体 
系 。 但 是 ， 重 要 的 是 ， 这 个 理念 虽然 失败 了 ， 它 依然 吸引 并 保持 了 众 
多 的 追随 者 。 如 今 ， 莱 特 币 已 经 改变 了 其 说 法 ， 声 称 由 于 其 并 非 采纳 
ASIC， 因 此 其 初始 分 配 更 加 公平 。 


莱特 币 也 做 了 一 些小 的 参数 变更 ， 比 如 莱特 币 的 区 块 增长 会 比比 
特 币 快 4 倍 ， 也 就 古 每 2.5 分 钟 产 生 一 个 区 块 。 其 他 方面 ， 闲 特 币 部 尽 
可 能 借鉴 比特 币 。 甚 至 莱特 币 的 更 新 都 跟随 比特 币 ， 比 特 币 一 有 任何 
名 丁 或 者 更 新 ， 羔 特 币 会 同时 采用 。 


狗 币 


狗 币 (Dogecoin) 也 许 是 迄今 为 止 故事 最 精彩 的 另类 币 。 它 诞生 
于 2013 年 年 末 ， 其 突出 的 特点 不 是 技术 〈 它 是 莱特 币 的 翻版 ) ， 而 是 
社区 价值 体系 : BS ` 慷慨 和 非 严 格 的 加 密 货币 。 它 的 名 字 来 源 于 神 
烦 狗 (Doge) , 一 只 有 趣 的 在 互联 网 流行 的 日 本 柴 犬 〈 见 图 10.4) 。 狗 
币 团队 发 起 过 好 几 个 有 趣 而 且 成 功 的 广告 宣传 活动 ， 比 如 赞助 美国 纳 
斯 卡车 赛 (NASCAR) 车 手 ， 让 狗 币 的 图 案 遍 布 全 车 。 他 们 还 集资 了 3 
万 美元 ， 资 助 牙 买 加 国家 雪 榴 队 参 加 2014 年 冬季 奥运 会 。 有 趣 的 是 ， 
这 和 90 年 代 的 电影 酪 跑 (Cool Running) 的 故事 情节 如 出 一 办 。 


图 10.4 狗 币 的 其 中 一 个 标志 
注 : 卖点 是 其 有 趣 幽默 ， 而 不 是 其 技术 创新 。 狗 币 标志 ， 版 权 为 2013~2014 年 狗 币 开发 者 。 


由 于 狗 币 社区 的 慷慨 大 方 、 宣 传 活 动 的 推广 ， 加 上 神 烦 狗 形 象 在 
互联 网 的 流行 ， 狗 币 在 2014 年 一 度 大 受 欢 迎 。 很 多 用 狗 币 的 人 ， 之 前 
都 不 知道 什么 是 加 密 货币 ， 他 们 也 不 需要 知道 狗 币 比 别 的 货币 好 在 哪 


里 ， 就 可 以 主动 参与 并 推动 狗 币 的 发 展 。 狗 币 的 成 功 ， 说 明 一 个 货币 
的 流行 也 可 以 通过 非 技术 的 方式 来 实现 。 遗 倒 的 是 ， 就 像 很 多 互联 网 
热点 一 样 ， 狗 币 的 风靡 程度 目前 已 逐渐 减弱 ， 其 汇兑 比 率 也 随 之 大 幅 
下 降 。 


10.3 比特 币 和 另类 币 的 关系 


我 们 可 以 用 一 系列 的 参照 标准 ， 来 比较 各 类 不 同 的 另类 币 的 相对 
规模 和 影响 。 


为 类 币 比 较 


资本 市 值 


传统 上 来 说 ， 资 本 市 值 是 评 信和 一 个 公众 公司 的 简单 方法 ， 把 公司 
股票 价格 乘 以 总 股份 即 可 得 出 资本 市 值 。 在 另类 币 领域 里 ， 计 算 资 
市 值 的 方法 类 似 ， 即 用 每 单位 货币 的 价格 (通过 用 最 通用 的 第 三 方 交 
易 平台 取得 价格 ) 乘 以 流通 中 的 总 货币 数 。 按 照 这 个 标准 ， 截 至 2015 
年 ， 比 特 币 的 资本 市 值 最 大 ， 其 占 了 所 有 加 密 货 币 总 和 90% 多 的 市 
值 。 其 他 币 种 的 排名 可 能 会 经 常 变化 ， 但 十 大 部 分 另类 币 的 市 值 都 非 
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不 能 过 分 看 重 资本 市 值 。 首 和 完 ， 资 本 市 值 并 不 等 于 购买 所 有 流通 
中 货币 的 总 费用 。 这 个 总 费用 可 能 比 资本 市 值 高 或 者 低 ， 因 为 大 量 的 
购买 会 择 高 该 男 类 币 的 价格 。 其 次 ,虽然 资本 市 值 只 考虑 流通 中 的 总 
货币 量 ， 但 是 市 场 参 与 者 应 该 会 考虑 未 来 新 发 行货 币 量 对 货币 价格 的 
影响 ， 这 使 资本 市 值 的 估计 更 加 复杂 “。 最 后 ， 甚 至 真实 流通 的 货币 量 
也 征 无 法 准确 估计 的 ， 因 为 有 些 货币 的 主人 也 许 丢 失 了 他 们 的 私 铀 ， 
但 我 们 并 不 知道 。 


挖 矿 能 力 


如 果 两 个 另类 币 用 同样 的 挖 矿 谜 题 ， 那 么 可 以 直接 对 比 每 个 货 
矿工 的 总 挖 矿 能 力 。 基 于 哈 希 谜 题 的 影响 ， 挖 矿 能 力 这 个 指标 经 常 被 
称 为 哈 希 速度 (hashrate) 。 比 如 ， 泽 塔 币 (Zetacoin) 用 和 比特 币 
一 样 的 SHA-256 挖 矿 谜 题 ， 在 2015 年 12 月 ， 它 的 网 络 哈 希 速度 ， 是 5 兆 
哈 希 每 秒 ( 即 5x1012 哈 希 / 秒 )。 这 个 数字 大 约 是 比特 币 的 十 万 分 之 一 。 
如 果 两 种 货币 用 不 同 的 控 矿 谜 题 ， 比 较 控 矿 能 力 就 很 困难 ， 因 为 谜 题 
需要 花 不 同 的 时 间 去 计算 。 而 且 ， 专 门 为 某 种 货币 定制 的 挖 矿 硬件 不 
一 定 适用 于 其 他 货币 的 控 矿 (包括 攻击 ) 。 


即便 对 使 用 完全 相同 的 控 矿 恋 题 的 男 类 币 ， 我 们 也 可 从 其 随时 间 
而 变化 的 控 矿 能 力 上 ， 得 知 一 些 有 用 的 信息 。 如 采 是 算 力 的 增加 ， 则 
意味 着 更 多 的 人 加 入 或 者 现 有 参与 者 升级 了 更 强大 的 硬件 设备 ， 反 
之 ， 如 果 是 算 力 的 减少 ， 则 意味 着 一 些 矿工 已 经 放弃 这 个 币 种 ， 这 通 
常 是 一 种 负面 的 迹象 。 


其 他 指标 


有 几 个 其 他 指标 可 以 用 于 比较 尹 类 币 。 比 如 ， 必 类 币 的 汇率 变化 
可 以 说 明 其 健康 程度 ， 当 然 也 可 能 与 其 哈 希 速度 变化 有 关 ; 在 第 三 方 
交易 平台 的 交易 额 可 以 用 来 测度 这 个 货币 的 活跃 度 和 公众 对 它 的 兴趣 
程度 。 然 而 ， 有 些 指标 并 不 一 定 有 用 。 比 如 ， 另 类 币 区 块 链 的 交易 量 
忠 并 不 能 说 明 什 么 ， 因 为 这 有 可 能 钙 用 户 在 他 们 目 己 的 账户 内 通过 倒 
转 货币 产生 的 ， 这 些 内 部 倒转 甚至 可 能 是 目 动 进行 的 。 最 后 ， 我 们 可 
以 看 看 有 多 少 商家 和 文 付 渠道 文 持 这 种 货币 ， 因 为 只 有 优秀 的 货币 才 
更 可 能 得 到 文 付 渠 道 的 文 持 。 


比特 币 与 男 类 币 互动 的 经 济 学 视角 


比特 币 和 男 类 币 的 关系 很 复杂 。 一 方面 ， 作 为 加 密 货币 ， 因 为 它 
们 都 可 以 用 于 网 络 文 付 ， 它 们 相互 竞争 。 如 有 宁 两 种 货币 提供 的 功能 相 
近 ， 采 用 类 似 的 标准 、 协 议和 规范 格式 ， 那 么 最 终 有 一 方 会 占 优 ， 这 
就 是 经 济 学 家 所 说 的 “网 络 效应 ”。 


举 个 例子 来 说 ， 在 2000 年 的 中 后 期 监 光 (Blu-ray) 和 HD DVD 展 
开 激 烈 的 竞争 ， 争 村 DVD 标 准 的 制定 者 。 因 为 受 欢迎 的 游戏 机 
PS3(PlayStation 3) 的 主机 可 以 当成 监 光 播放 器 人 使用， 渐渐 地 ， 蓝 光 开 
始 变 得 更 加 流行 。 很 多 电影 制作 商 也 由 此 更 喜欢 采用 监 光 格 式 ， 这 也 
反 过 来 推动 了 监 光 进一步 的 普及 。 随 着 更 多 的 电影 采用 监 光 格式 发 
行 ， 更 多 的 用 户 购买 蓝 光 播放 器 ， 进 一 步 导 致 更 多 的 电影 采用 监 光 格 
式 。 同 样 ， 如 有 果 你 的 朋友 都 用 蓝光 播放 絮 ， 你 也 会 买 蓝 光 而 不 是 HD 
DVD 播 放 妖 ， 因 为 这 样 ， 你 和 朋友 互 换 电影 会 更 容易 。 因 此 ， 仪 仅 用 
了 两 年 的 时 间 ，HD DVD 就 成 了 历史 。 


谁 最 终 获 胜 ? 


早 在 HD DVD 被 淘 状 之 前 ， 殊 有 无 数 相似 的 技术 标准 被 范 争 者 
迅速 取代 ， 从 而 上 暗淡 地 退出 历史 舞台 ， 如 Betamax 模 拟 磁 市 以 及 俄 
罗斯 标准 铁路 轨道 等 。 因 为 网 络 效应 ， 你 可 能 没 听 过 这 些 被 奉 代 
的 东西 。 有 时候 ， 胜 出 者 是 因为 其 压倒 性 的 技术 优势 ， 束 如 同 尼 
十 拉 : 特 斯 拉 (Nikola Tesla) 的 交流 电网 在 与 托马斯 :爱迪生 的 直流 
电网 中 获得 的 优势 一 样 。 然 而 ， 大 多 数 时 候 ， 失 败 一 方 事实 上 在 
技术 上 更 胜 一 拜 ， 比 如 Betamax 磁 市 焉 输 给 了 VHS 磁 市 ， 可 见 网 络 
效应 如 此 之 大 ， 以 至 于 微小 的 技术 务 势 可 以 忽略 。 


以 上 的 推理 说 明 ， 即 使 后 面 跟随 的 其 他 货币 在 技术 上 更 先进 ， 最 
终 只 有 一 个 加 密 货币 会 占 主导 地 位 (目前 看 来 可 能 是 比特 币 ， 因 为 它 
是 当前 最 流行 的 货币 ) 。 但 如 果 仅 仅 只 是 这 样 看 待 货币 之 间 的 竞争 ， 
那 就 会 过 于 肤浅 ， 加 密 货币 之 间 的 竞争 ， 之 所 以 不 像 光 副 格式 之 间 的 
竞争 那么 你 死 我 活 ， 至 少 有 以 下 两 个 原因 


首先 ， 用 户 从 一 种 加 密 货 币 转 辐 另 一 种 相对 容易 ， 服 务 商 也 容易 
接受 多 种 加 密 货 币 ， 这 意味 着 多 种 加 密 货币 更 易于 共存 和 发 展 。 加 密 
货币 的 这 种 特性 在 经 济 学 上 被 称 为 较 低 的 转换 成 本 。 相 反 ，DVD 播 放 
亏 的 转换 成 本 很 高 ， 因 为 绝 大 多 数 人 不 需要 两 个 举重 的 播放 凑 摆 在 家 
里 ， 如 采 更 换 到 男 外 一 种 播放 器 ， 也 不 容易 把 已 经 有 的 光盘 转化 为 男 
外 一 种 格式 。 当 然 ， 加 密 货 币 之 间 的 转换 成 本 也 不 古 完 全 没有 。 比 
如 ， 用 户 也 许 已 经 购买 了 一 个 硬件 版 的 钱包 ， 如 采 转 换 其 他 货币 ， 硬 
件 钱包 可 能 无 法 升级 转化 。 但 是 正常 来 说 ， 转 换 加 密 货 币 并 同时 使 用 
多 种 加 密 货 币 是 很 商 单 的 。 


其 次 ， 正 如 前 面 担 到 过 的 ， 很 多 另类 币 之 所 以 存在 ， 和 是 有 其 独特 
的 功能 基础 的 。 这 些 男 类 币 并 不 只 是 比特 币 的 奉 代 品 。 它 们 和 比特 币 
功能 有 有 交 义 ， 甚 至 互补 。 从 这 个 角度 看 ， 可 以 功能 互补 的 男 类 币 实际 
上 扩大 了 比特 币 的 用 途 ， 而 并 不 仅仅 是 和 比特 币 竞争 。 例 如 ， 假 设 域 
名 币 成 功 了 ， 那 么 比特 币 的 用 户 在 使 用 比特 币 的 时 候 ， 束 多 了 一 个 选 


择 。 


当然 ， 如 果 把 它们 之 间 的 关系 都 理解 成 愉快 的 合作 共 赢 ， 也 过 于 
肤 乒 。 一 些 另 类 币 ， 比 如 茉 特 币 ， 驶 是 想 要 用 更 加 高 效 的 方式 来 达到 
比特 币 的 功能 。 羔 特 币 的 创新 功能 ， 其 实 都 可 以 在 比特 币 体系 里 实 
现 ， 或 者 用 相对 笨拙 的 办 法 来 实现 《第 11 章 将 做 进一步 的 讨论 ) 。 文 
持 在 比特 币 体系 基础 上 持续 改进 的 人 认为 ， 多 种 另类 币 分 散 了 可 用 哈 
希 算 力 ， 从 而 使 每 个 独立 货币 不 太 安 全 。 


相反 ， 支 持 另类 币 的 人 则 认为 ， 另 类 币 可 以 让 市 场 决定 什么 功能 
值得 拥有 、 什 么 系统 更 加 优越 等 。 他 们 同时 还 认为 ， 多 种 另类 币 系统 
同时 存在 的 话 ， 可 以 把 任何 一 个 货币 系统 灾难 性 的 损失 控制 在 一 定 范 
围 内 。 他 们 也 指出 ， 比 特 币 开发 者 高 度 风险 厌恶 ， 不 管 是 通过 软 分 支 
还 是 硬 分 支 ， 加 入 任何 新 功能 ， 都 是 非常 缓慢 和 困难 的 。 相 反 ， 在 另 
类 币 上 很 容易 去 尝试 新 想法 。 因 此 ， 可 以 把 另类 币 视 为 比特 币 新 功能 
的 实验 田 。 


实际 上 ， 最 终结 采 束 是 ， 比 特 币 和 男 类 币 的 支持 者 之 间 既 相互 苋 
和 争 也 相互 合作 。 


10.4 男 类 币 的 天 折 与 共同 控 矿 


本 三 和 下 节 将 继续 讨论 比特 币 和 男 类 币 的 技术 相关 性 ， 而 暂时 搁 
置 文化 、 政 治 和 经 济 因素 。 


及 关 币 的 天 折 


截至 2015 年 ， 比 特 币 的 哈 希 算 力 让 所 有 任何 其 他 男 类 币 相形 见 
绸 。 事 实 上 ， 存 在 几 个 势力 强大 的 矿工 或 者 矿 池 ， 他 们 控制 的 控 矿 能 
力 高 于 所 有 其 他 另类 币 的 控 矿 能 力 总 和 。 这 样 的 矿工 或 者 矿 池 ， 可 以 
轻松 攻击 一 个 小 的 另类 币 (如 果 他 们 也 用 和 比特 币 一 样 的 SHA-256 控 矿 
谜 题 ) ， 通 过 制造 属 品 和 大 规模 混乱 ， 最 终 毁 了 该 另类 币 。 我 们 称 这 
种 现象 为 另类 币 的 天 折 。 


用 宝贵 的 挖 矿 算 力 去 攻击 其 他 货币 ， 并 且 得 不 到 明显 的 金钱 回 
报 ， 为 什么 会 有 人 这 么 做 ? 以 2012 年 盘旋 币 (CoiledCoin) 被 攻击 为 
例 : 比特 币 矿 池 Eligius 的 总 管 认 为 ， 盘 旋 币 是 个 蚤 局 ， 会 对 整个 加 密 货 
币 的 生态 系统 产生 冲击 。 所 以 ，Eligus 将 其 控 矿 资源 全 部 用 在 盘旋 币 
上 ， 制 造 出 的 区 块 链 把 盘旋 币 几 天 的 交易 给 对 冲 控 ， 同 时 挖 了 一 条 很 
长 的 空 区 块 链 。 这 造成 了 其 他 盘 旋 币 用 户 无 法 再 使 用 盘 旋 币 的 服务 ， 
也 束 无 法 再 产生 任何 新 的 交易 。 在 盘旋 币 经历 了 短暂 的 攻击 后 ， 用 户 
放弃 了 盘旋 币 ， 它 从 此 销声匿迹 。 在 这 个 案例 ， 以 及 其 他 类 似 的 另类 
币 天 折 的 案例 里 ， 攻 击 者 都 是 出 于 金钱 以 外 的 动机 而 发 动 攻击 的 。 


共同 挖 矿 


如 果 一 个 男 类 币 复制 了 比特 币 的 源 代 码 但 是 没有 做 任何 修改 ， 按 
道理 在 这 个 男 类 币 上 的 控 矿 是 有 排他 性 的 。 也 就 古 说 ， 你 可 以 去 试图 
找 挖 矿 谜 题 的 管 案 从 而 找到 一 个 有 效 的 区 块 和 链 ， 但 是 只 能 给 发 类 币 或 
者 比 特 币 ， 不 能 一 石 二 马 。 你 可 以 把 你 的 挖 矿 资 源 在 比特 币 和 男 类 币 
上 上 做 分 配 ， 你 甚至 可 以 在 多 种 男 类 币 上 分 配 资 源 而 且 随 时 调整 配置 ， 
但 是 你 无 法 让 欣 矿 资源 同时 服务 于 多 种 货币 。 


在 这 种 具有 排他 性 挖 矿 的 条 件 下 ， 网 络 效应 会 使 很 多 男 类 币 无 法 
实现 目 我 增强 式 的 循环 发 展 。 如 琳 你 开发 了 一 个 新 的 男 类 币 并 成 功 说 
服 当前 的 比特 币 矿工 加 入 你 的 另类 币 体系 ， 为 此 ， 他 们 必须 停止 比特 
币 的 挖 矿 ， 也 就 意味 着 他 们 会 立刻 产生 相关 损失 。 因 此 ， 他 们 没有 动 
力 加 入 你 的 另类 币 体 系 ， 也 避 ® 意 味 着 你 的 男 类 币 很 可 能 只 有 很 低 的 哈 
希 算 力 ， 也 束 很 容易 侦 其 他 比特 币 人 矿工 攻击 并 天 折 。 


征 否 可 以 设计 出 这 样 一 种 另类 币 ， 它 可 以 允许 同时 在 该 币 和 比特 
币 上 进行 挖 矿 ? 为 了 达到 这 个 目的 ， 则 必须 创造 出 包含 比特 币 和 该 历 
类 币 相互 交易 的 区 块 链 ， 以 使 这 些 交 易 在 两 个 区 块 链 均 有 效 。 设 计 可 
使 比特 币 的 交易 出 现在 其 区 块 里 的 另类 币 ， 这 个 并 不 难 ， 我 们 可 以 设 
计 任 何 想 要 的 男 类 币 的 规则 。 但 反 过 来 却 很 难 。 如 何 把 男 类 币 的 交易 
放 入 比特 币 区 块 链 上 ? 第 3 革 和 第 8 革 已 经 介绍 了 如 何 把 任意 数据 放 在 
比特 币 的 区 块 里 ， 但 是 这 样 做 会 遇 到 比特 币 特 有 的 市 宽 限 制 ， 即 其 数 
据 传 输 量 非 常 有 限 。 


然而 还 是 有 巧妙 的 办 法 : 虽然 不 能 把 男 类 币 的 交易 内 容 放 进 比 特 
币 的 区 块 里 ， 但 是 可 以 把 另类 币 的 交易 概要 以 哈 希 指针 的 形式 放 入 比 
特 币 区 块 中 。 找 一 个 可 以 在 每 一 个 比特 币 区 块 里 放 入 一 个 哈 希 指针 的 
办 法 很 容易 。 具 体 来 说 ， 回 想 一 下 本 书 曾 经 提 过 每 个 比特 币 区 块 剖 有 
一 个 特殊 的 交易 ， 称 为 币 基 交易 ， 也 就 是 矿工 创建 新 的 区 块 所 得 的 比 
特 币 奖励 。 这 种 交易 的 输入 脚本 〈scriptSig) 区 域 没有 任何 内 容 ， 因 
此 可 以 用 来 存储 任意 数据 (当然 也 不 需要 对 币 基 交 易 进行 签名 认证 ， 


因为 没有 任何 前 序 交 易 ) 。 所 以 在 一 个 共同 挖 矿 的 另类 币 体系 里 ， 控 
人 矿 的 任务 束 古 去 计算 一 类 特殊 的 比 符 币 区 块 ， 币 基 有 交易 的 输入 脚本 区 
域 存 有 指 癌 妨 类 币 区 块 的 哈 布 指针 。 


这 个 区 块 现在 可 以 映 兼 二 职 对 比特 币 客户 端 来 说 ， 其 与 任何 其 
他 比特 币 区 块 没 有 区 别 ， 除 了 在 币 基 交易 中 多 了 一 个 可 以 被 比特 币 忽 
略 的 哈 而 值 。 允 类 币 的 用 户 知道 如 何 解读 这 个 区 块 : 忽略 比特 币 的 区 
易 ， 只 看 在 币 基 交易 中 的 哈 希 值 所 指向 的 男 类 币 的 交易 。 值 得 注意 的 
征 ， 这 种 设计 不 需要 比特 币 做 任何 改变 ， 但 是 需要 另类 币 能 够 兼容 比 
特 币 ， 并 且 人 允许 共同 挖 矿 。 


如 果 男 类 币 支 持 共 同 挖 矿 ， 那 么 我 们 硕 望 很 多 比特 币 的 矿工 也 参 
与 进来 ， 因 为 这 不 需要 花 任何 额外 的 哈 希 算 力 。 只 需要 增加 少量 的 运 
资源 去 处 理 区 块 和 交易 ， 以 及 矿工 需要 知道 和 了 解 这 个 另类 币 ， 就 
能 去 伦 费 精力 来 控 矿 了 。 假 如 25% 的 比特 币 矿 工 的 哈 布 算 力 同时 在 挖 另 
类 币 的 矿 ， 这 说 明 ， 平 均 25% 的 比特 币 含 有 指 加 另类 币 的 指针 ， 也 就 意 
味 着 ， 在 另类 币 体 系 里 ， 每 隔 40 分 钟 才 能 产生 一 个 新 的 另类 币 。 而 更 
粳 糕 的 是 ， 当 另类 币 还 在 自我 发 展 ， 并 且 只 有 小 部 分 的 比特 币 矿工 参 
与 的 时 候 ， 产 生 一 个 新 区 块 需要 几 个 小 时 甚至 几 天 ， 这 种 局 面 实在 让 
人 无 法 接受 。 


有 没有 办 法 确保 参与 共同 挖 矿 的 另类 币 的 区 块 ， 能 按照 稳定 的 速 
度 产生 ? 或 者 说 ， 我 们 是 否 可 以 设 定 区 块 产生 的 速度 或 高 或 低 ， 但 与 
比特 币 中 多 少 比例 的 人 参与 共同 挖 矿 无 天 ? 答案 是 肯 定 的 。 奥 妙 在 
于 ， 昌 然 男 类 币 的 挖 矿 任务 和 比特 币 一 样 ， 但 是 控 矿 的 目标 不 同 。 男 
类 币 体系 计算 的 目标 和 困难 程度 和 比特 币 体系 中 的 目标 和 困难 程度 都 
没有 关系 。 就 如 比特 币 可 以 调整 其 计算 目标 使 每 个 区 块 按 平均 每 分 钟 
产生 10 个 的 速度 一 样 ， 另 类 币 也 可 以 调整 自己 的 目标 使 区 块 在 男 类 币 
体系 也 以 每 10 分 钟 或 其 他 固定 值 产 生 一 个 。 


这 意味 着 ， 另 类 币 的 目标 值 要 远 远 小 于 比特 币 的 目标 值 。 部 分 ， 
甚至 是 大 部 分 另类 币 的 区 块 将 不 会 被 有 效 的 比特 币 区 块 的 指针 指引 
到 。 但 是 这 并 不 会 带 来 问题 ， 你 只 需要 把 比特 币 区 块 链 和 另类 币 区 块 
链 看 成 是 两 个 平行 并 列 的 数据 链 ， 只 是 偶尔 有 从 比特 币 指向 另类 币 的 
指针 ， 详 见 图 10.5 所 示 。 在 图 示 的 例子 中 ，60% 的 比特 币 矿 工 同 时 也 控 
另类 币 的 矿 ， 男 类 币 大 约 5 分 钟 产 生 一 个 。 这 意味 着 另类 币 的 控 矿 难度 
系数 是 比特 币 的 60%x5/10=30%。 图 中 40% 的 比特 币 区 块 没 有 包含 指 问 
另类 币 的 哈 希 指针 。 


| | 另类 而 区 块 
| 共同 挖 矿产 生 的 比特 币 


非 另类 币 矿 工控 出 的 比特 币 
由 共同 挖 矿 矿工 挖 出 的 ， 由 于 不 能 满足 比特 币 要 求 而 失败 的 比特 币 区 块 ， 但 满足 男 类 币 
[| 的 要 求 


图 10.5 共同 挖 矿 
注 : 图 中 显示 了 比特 币 和 另类 币 的 区 块 链 ， 以 及 它们 之 间 的 相互 作用 。 


相反 ， 每 个 有 效 的 另类 币 都 是 比特 币 挖 矿 的 结 末 ， 但 是 在 所 有 满 
足 另 类 币 的 控 矿 算法 结果 中 ， 只 有 30% 能 达到 比特 币 的 要 求 。 对 于 另外 
709% 满 足 丸 类 币 要 求 却 无 法 满足 比特 币 要 求 的 区 块 ， 另 类 币 的 网 络 需要 
验证 这 些 区 块 是 否 真 的 符合 解决 控 矿 的 谜 题 。 最 直接 的 方法 是 向 比特 
币 相 邻 区 块 和 男 类 币 区 块 进行 广播 。 更 聪明 的 方法 ， 是 只 厂 播 比 特 币 
相 邻 区 块 的 标题 部 分 和 比特 币 区 域 中 包含 币 基 交易 的 二 进 制 证明 。 


虽然 很 罕见 ， 另 类 币 的 恋 题 也 可 能 比比 特 币 更 难 。 由 于 大 部 分 另 
类 币 希 望 产 生 区 块 的 速度 要 快 于 每 10 分 钟 一 个 ， 这 种 情况 不 常见 。 当 
然 如 果 硕 望 放 慢 速度 的 话 ， 也 很 容易 做 到 。 这 种 情况 下 ， 你 就 会 看 到 
有 些 矿 工控 到 比特 币 ， 硕 望 这 些 也 能 成 为 另类 币 ， 但 是 部 分 比特 币 区 
块 ， 在 另类 币 网 络 中 ， 由 于 达 不 到 更 高 的 难度 要 求 而 被 拒绝 。 


最 后 和 需要 指出 ， 任 意 数 量 的 男 类 币 都 可 以 同时 和 比特 币 共同 挖 
矿 ， 每 个 矿工 都 可 以 自由 选择 任意 男 类 币 共 同 挖 矿 。 在 这 样 多 种 另类 
币 组 合共 同 挖 矿 的 情况 下 ， 币 基 交 易 的 输入 脚本 本 吴 吏 是 一 个 指 癌 多 
种 另类 币 的 二 又 哈 硕 树 结构 。 注 意 这 种 结构 的 复杂 性 ， 因 为 确认 包 合 
另类 币 交 易 需 要 确认 以 下 几 点 : (1) 二 又 哈 硕 树 包含 这 个 另类 币 的 证 
明 ; 《2) 二 叉 哈 希 树 证 明 包 含 币 基 交 易 输入 脚本 ， 而 且 里 面包 含 男 类 
币 的 哈 希 值 ， (3) 二 叉 哈 希 树 证 明 比 特 币 区 块 或 者 附近 区 块 有 币 基 交 
易 的 输入 脚本 。 


共同 控 矿 和 安全 


共同 挖 矿 是 一 把 双 为 证。 正如 本 书 讨 论 过 的 ， 它 可 以 使 一 个 男 类 
币 更 易 实现 目 我 增长 的 循环 发 展 ， 通 过 增加 总 算 力 从 而 提高 其 抗 攻击 
能 力 。 这 种 情况 下 ， 想 通过 购买 算 力 去 破坏 男 类 币 的 恶意 竞争 对 手 束 
需要 付出 巨大 的 前 期 投资 。 


男 一 方面 ， 有 人 可 能 会 认为 这 是 一 个 安全 假象 。 因为 恶意 竞争 对 

手 可 以 通过 共同 挖 矿 来 产生 比特 币 ， 收 回 一 部 分 前 期 投资 ， 同 时， 使 

攻击 男 类 币 的 边际 成 本 变 得 很 小 。 把 有 恶 意 竞 争 者 看 成 规模 很 大 的 比特 

币 矿 工 ， 也 许 更 易于 理解 。 事 实 上 ， 前 文 提 到 的 天 折 的 盘旋 币 ， 束 是 

允许 共同 挖 矿 的 。 攻 击 者 矿 池 Eligius 和 参与 攻击 者 并 不 需要 停止 比特 币 

挖 矿 束 可 以 展开 攻击 。 事 实 上 ， 矿 池 的 参与 者 甚至 都 不 知道 他 们 的 计 
资源 被 用 于 攻击 另类 币 。 


为 类 币 的 控 矿 广 题 趋势 


截至 2015 年 ， 无 论 是 否 允 许 共同 挖 矿 ， 很 少 有 另类 币 使 用 和 比 
特 币 一 样 的 SHA-256 开 采 难 题 。 这 表明 ，SHA-256 算 法 被 认为 是 有 
安全 隐患 的 。Scrypt 算 法 册 是 更 受 欢 迎 的 选择 ， 因 为 它 使 得 比特 币 
的 ASIC 在 控 矿 或 者 攻击 男 类 币 上 变 得 毫 无 用 处 。 不 过 ， 用 于 莱特 币 
挖 矿 所 制造 的 Scrypt ASIC 矿 机 可 用 于 攻击 它们 。 


站 在 一 个 理性 矿工 的 角度 ， 当 我 们 思考 是 否 会 共同 控 矿 时 ， 我 们 
会 发 现 共 同 挖 矿 有 很 多 安全 问题 。 本 书 之 前 曾 简略 地 谈 到 ， 只 有 当期 
望 收益 大 于 期 望 成 本 时 ， 挖 矿 才 有 意义 。 对 于 比特 币 控 矿 来 说 ， 成 本 
主要 是 计算 哈 希 值 。 但 是 对 比特 币 矿 工 来 说， 决定 是 否 和 另类 币 共同 
控 矿 并 不 会 对 哈 布 计算 成 本 产生 影响 。 额 外 的 成 本 来 目 其 他 方面 : 计 
算 、 带 宽 、 用 于 验证 另类 币 交 易 的 存储 空间 ， 以 及 需要 使 软件 实时 更 
新 及 在 另类 币 出 现 硬 分 又 或 者 软 分 又 时 ， 做 出 非 正 式 决定 。 


这 样 的 推理 引出 两 个 有 洞察 力 的 观点 。 第 一 ， 共 同 挖 矿 有 很 强 的 
规模 效应 ， 因 为 所 有 的 矿工 所 花费 的 成 本 相同 ， 不 管 其 哈 硕 算 力 有 多 
大 。 这 与 比特 币 有 明显 差异 ， 因 为 在 比特 币 体 系 中 ， 成 本 和 哈 希 算 力 
成 正比 。 对 于 小 的 低 价值 另类 币 ， 由 于 低 的 哈 希 算 力 ， 一 个 小 的 独立 
矿工 公开 挖 矿 的 成 本 超过 了 回报 ， 因 此 其 无 法 获 利 。 截 至 2015 年 ， 通 
过 控 妨 类 币 获 得 的 收入 只 占 了 比特 币 收 入 的 很 小 一 部 分 。 这 预示 着 ， 
与 比特 币 体系 比 ， 共 同 挖 矿 的 男 类 币 将 会 更 具 中 心 化 。 


有 预测 指出 ， 大 部 分 矿工 会 选择 外 包 来 对 他 们 的 交易 进行 验证 。 
男 类 币 规 模 越 小 ， 矿 工 就 越 有 动力 去 找 外 包 。 最 简单 的 办 法 束 古 加 入 
比特 币 矿 池 。 因 为 矿 池 通 党 替代 矿工 进行 运算 。 矿 池 管 理 员 验 证 比特 


币 和 另类 币 区 块 交易 ， 收 集 添加 包含 另类 币 的 比特 币 区 块 。 矿 工 只 需 
专注 于 解决 挫 矿 谜 题 并 找 出 需要 的 数值 。 这 个 预测 与 实际 非常 贴近 。 
比如 ，G 池 〈GHash.IO) , 曾经 最 大 的 比特 币 挖 矿 池 ， 同 时 允许 对 域名 
币 、IX 币 〈IXCoin) 和 Dev 币 (DevCoin) 共同 控 矿 。 这 些 也 同时 成 为 
最 受 欢 迎 的 共同 挖 矿 男 类 币 。 


第 二 个 观点 ， 从 经 济 学 的 角度 讲 ， 也 许 更 加 让 人 担心 安全 性 而 不 
征 挖 矿 能 力 太 集中 。 如 果 矿 工 的 主要 成 本 是 工作 量 证 明 ， 在 这 种 模式 
设计 下 ， 矿 工 是 无 法 作 兹 的 。 在 哈 希 函数 的 安全 性 保障 下 ， 挖 矿 没有 
捷径 ， 并 且 其 他 矿工 很 容易 并 且 也 愿意 去 验证 工作 量 证 明 。 但 是 如 果 
主要 成 本 变 成 交易 验证 时 ， 以 上 两 个 假设 束 不 成 立 了 。 矿 工 倾向 于 假 
设 他 们 收 到 的 交易 都 十 有 效 的 ， 并 不 对 这 个 交易 做 任何 其 他 验证 。 而 
且 ， 矿工 如 琳 要 去 验证 一 个 区 块 及 其 交易 ， 其 工作 量 束 和 控 矿 一样。 
因此 ， 可 以 预期 对 于 小 的 共同 矿工 ， 他 们 有 动机 跳 过 验证 环 记 。 由 于 
存在 不 验证 的 人 矿工， 攻击 变 得 更 加 容易 ， 因 为 一 个 恶意 的 矿工 可 以 创 
造 一 个 区 块 ， 让 其 他 矿工 对 哪 条 是 最 长 的 有 效 区 块 链 产 生 和 争议 。 


简 而 言 之 ， 共 同 挖 矿 在 解决 一 个 安全 问题 的 同时 ， 却 也 产生 其 他 
多 个 问题 ， 部 分 原因 是 共同 挖 矿 和 单独 揭 矿 在 经 济 收益 上 有 重大 老 
别 。 总 体 来 说 ， 考 虑 到 挖 矿 攻 击 ， 共 同 挖 矿 对 一 个 新 的 另类 币 是 否 十 
一 个 好 主意 还 很 难说 清 。 


[1] Scrypt 是 由 著名 的 FreeBSD 黑 客 Colin Percival 为 他 的 备份 服务 Tarsnap 开 发 的 。Scrypt 不 
仅 计 算 所 需 时 间 长 ， 而 且 占 用 的 内 存 也 多 ， 使 得 并 行 计算 多 个 摘要 异常 困难 ， 因 此 利用 
rainbow table 进 行 暴力 攻击 更 加 困难 。scrypt 没 有 在 生产 环境 中 大 规模 应 用 ， 并 且 缺 乏 仔 细 的 审 
察 和 广泛 的 函数 库 文 持 。 译 者 注 


10.5 不 可 分 割 的 交叉 链 互 换 


在 比特 币 体 系 里 ， 在 不 同 个 体 或 群体 之 间 ， 达 成 一 项 交换 货币 或 
资产 的 交易 很 直接 。 这 就 是 第 6 章 里 谈 到 的 合 币 的 原理 。 合 币 也 可 以 用 
来 交易 智能 货 产 ， 第 9 章 简要 提 到 ， 第 11 章 会 再 进一步 讨论 。 本 章 前 面 
谈 到 的 在 域名 币 中 出 售 域名 也 是 基于 同样 的 原理 。 


但 是 前 面 所 有 的 例子 中 ， 即 便 涉 及 不 同 的 资产 ， 交 易 也 都 十 限 制 
在 单一 的 区 块 链 里 。 一 般 来 说 ， 一 个 另类 币 的 交易 和 另外 的 其 他 另类 
币 的 交易 历史 没有 任何 关系 也 无 法 相互 参考 ， 这 是 一 个 基本 的 无 法 路 
越 的 限制 。 那 么 ， 是 否 有 其 他 办 法 可 以 互 换 不 同 的 货币 ? 比如 ， 如 霖 
爱丽 丝 想 卖 挥 a 个 必 类 币 给 鲍 饭 ， 换 得 鲍 攻 的 b 个 比特 币 ， 他 们 可 以 把 
这 项 交易 做 成 是 单 一 且 无 法 分 割 的 形式 吗 ? 初 看 起 来 好 像 不 太 可 能 ， 
因为 无 法 强迫 不 同体 系 的 区 块 链 同 时 发 生 相 关 的 交易。 如 采 其 中 一 个 
人 ,假设 是 爱丽 丝 ， 先 执行 交易 ， 有 什么 办 法 可 以 阻止 鲍 动 不 遵守 承 
话 呢 ? 


有 个 聪明 的 办 法 可 以 做 到 ， 这 用 到 了 密码 学 的 承诺 和 锁定 时 间 存 
储 ， 这 是 两 个 我 们 已 经 讨论 过 的 技术 。 图 10.6 搬 绘 了 这 个 协议 。 暂 时 先 
假设 两 个 区 块 链 里 的 区 块 是 按 固 定 步 又 轮流 产生 的 ， 每 个 时 间 单 位 产 
生 一 个 区 块 。T 代 表 协 议 流程 的 开始 时 间 。 


1 爱丽 丝 创建 如 下 a 个 另类 币 的 可 以 退还 存款 : 

1.1 爱丽 丝 创建 一 个 随机 的 字符 串 x， 计 算 哈 希 值 h =H (x) 

1.2 ”爱丽 丝 创建 如 下 图 所 示 存储 A 区 块 ， 但 是 并 不 公开 

1.3 ”爱丽 丝 创建 再 融资 A 区 块 ， 让 鲍 孝 签名 

1.4 ”一旦 鲍 勃 在 再 融资 A 区 块 签名 ， 爱 丽 丝 公开 存储 A 区 块 ( 但 是 还 没有 公开 再 融资 A 区 块 ) 
2 鲍 勃 创建 如 下 可 以 退还 的 存款 比特 币 : 

2.1 鲍 勃 创建 如 下 图 所 示 存 储 B 区 块 ， 但 是 并 不 公开 

2.2 ” 鲍 勃 创建 再 融资 B 区 块 ， 让 爱丽 丝 签名 

2.3 一 旦 爱丽 丝 在 再 融资 B 区 块 签名 ， 鲍 勃 公开 存储 B 区 块 ( 但 是 还 没有 公开 再 融资 B 区 块 ) 

情景 1， 爱丽 丝 按照 计划 完成 竞 换 

3.1 在 T 爱丽 丝 索 回 比特 币 ， 把 x 给 鲍 勃 (和 其 他 所 有 人 ) 

3.2 在 TT 索 回 另 类 币 

情景 2， 爱 丽 丝 改变 主意 ， 不 要 比特 币 "， 也 不 让 鲍 勃 知道 x 值 

3.1 在 TT 鲍 勃 索 回 他 的 比特 币 

3.2 在 T, 爱丽 丝 索 回 她 的 另类 币 


存储 A[ 另 类 币 区 块 ] 再 融资 A[ 另 类 币 区 块 ] 


输入 : 爱丽 丝 的 价值 为 a 的 货币 输入 : 存储 A 
输出 脚本 : 可 以 通过 签名 A 以 及 签名 B 一 起 兑现 或 者 | | 输出 : 地 址 A 
通过 签名 B 和 xs.LH(CO=<h> 一 起 兑现 定时 : TT 


输入 脚本 : 签名 A， 签 名 B 


存储 B[ 比 特 币 区 块 链 ] 再 融资 B[ 比 特 币 区 块 ] 


输入 : 鲍 勃 的 价值 为 b 的 货币 输入 : 存储 B 
输出 脚本 : 可 以 通过 签名 A 以 及 签名 B 一 起 兑现 或 者 | | 输出 : 地 址 B 
通过 签名 A 和 xs.t.H(x)=<h> 一 起 兑现 定时 : TT 


输入 脚本 : 签名 A， 签 名 B 


图 10.6 不 可 分 割 的 交叉 链 互 换 协议 
QD 原作 者 写 的 是 另类 币 ， 应 该 是 笔 误 。 一 一 译 者 注 


Para 


第 一 步 ， 爱 丽 丝 存储 a 价值 的 男 类 币 [这 里 的 存 意味 着 把 货币 发 给 
输出 脚本 (ScriptPubkey) ， 并 在 里 面 注 明 只 有 两 种 情况 可 以 使 用 这 笔 
货币 | 。 这 个 存款 只 有 通过 以 下 两 种 方法 可 以 取得 此 a 价值 男 类 币 : 


一 ， 如 果 爱 丽 丝 和 鲍 动 两 个 人 都 同意 ， 他 们 可 以 取 回 。 事 实 上 ， 爱 丽 
缘 只 有 在 鲍 动 位 闭 回 球 交 易 后 ， 她 才 公 开 这 个 存款 。 这 样 束 保证 如 来 
两 个 时 间 单 位 过 去 后 ， 存 款 还 没有 人 被 领 取 ， 她 可 以 赎 回 她 的 存 球 。 


男 外 一 个 办 法 是 在 任何 时 候 ， 提 供 鲍 动 的 签名 和 x 的 值 ， 通 过 x 的 
值 去 开启 哈 希 函数 的 承诺 h。 注 意 ， 把 <h> 写 在 存储 A 的 区 块 里 来 表明 爱 
丽 丝 特意 把 h 写 入 输出 脚本 。 因 为 只 有 爱丽 丝 知道 x， 所 以 在 最 后 阶 
段 ， 任 何 单独 一 方 无 法 索取 存 球 。 这 个 方法 就 是 ， 当 且 仅 当 爱 丽 丝 拿 
到 比特 币 ， 鲍 勃 才 知 道 x 的 地 址 ， 他 才能 索取 另类 币 。 


第 二 步 大 体 是 第 一 步 的 反 向 过 程 。 鲍 动 存 b 单 位 比特 币 ， 这 些 比特 
币 只 能 在 两 种 情况 下 才能 被 取 走 。 很 重要 的 区 别 是 ， 鲍 勃 并 不 需要 创 
建 一 个 新 的 谜 题 。 相 反 ， 他 用 相同 的 哈 布 值 h ( 把 这 个 h 值 从 存储 A 区 块 
简单 复制 到 存储 B 区 块 )。 哈 希 值 h 束 是 链接 两 个 区 块 链 的 钥匙 。 


这 时 ， 爱 丽 丝 有 主动 权 ， 她 可 以 临时 变 卦 。 如 采 在 T1 时 ， 爱 丽 丝 
还 没有 表示 要 给 鲍 盈 x 值 ， 鲍 盈 可 以 人 简单 地 取 回 他 的 存款 退出 交易 。 爱 
丽 丝 的 另 一 选择 是 在 T1 之 前 取 走 鲍 驼 的 比特 币 ， 但 是 她 必须 创建 并 广 
播 输 入 脚本 ， 里 面 合 有 x 值 。 鲍 动 看 到 这 个 广播 束 可 以 用 x 值 去 领取 爱 
丽 丝 的 男 类 币 ， 兄 换 的 交易 完成 。 


注意 ， 如 果 爱 丽 丝 稍 微 晚 点 领取 鲍 勃 的 比特 币 (在 T1 之 后 但 是 在 
T2 之 前 ) ， 鲍 勃 可 能 同时 拿 走 两 笔 存款 。 类 似 地 ， 如 果 爱 丽 丝 及 时 拿 
走 鲍 动 的 比特 币 ， 但 古 鲍 动 等 太 久 还 没 取 走 受 丽 丝 的 ， 那 么 爱丽 丝 也 
可 以 把 两 个 都 拿 走 。 但 这 不 是 问题 ， 只 要 保证 双方 无 法 在 协议 上 其 驻 
对 方 区 可 以 ， 目 己 的 下 忽 或 者 故意 仿 慢 不 是 系统 考虑 的 范围 。 


最 后 ， 区 块 在 比特 币 和 为 类 币 中 ， 并 不 是 按照 固定 时 间 产 生 的 。 
这 种 情况 会 造成 一 些 混乱 ， 竺 别 是 两 个 区 块 链 没有 协调 一 致 时 。 假 设 
两 个 区 块 链 各 日 平均 10 分 钟 产 生 一 个 区 块 。 以 1 小 时 为 时 间 单 位 ， 也 束 


征 阅 ， 需 要 T1 至 少 为 现在 男 类 币 区 块 +12，T2 至 少 为 现在 比特 币 区 块 
+6， 也 许 能 带 来 更 大 安全 边际 。 


遗憾 的 是 ， 存 在 很 小 的 可 能 性 ，12 个 另类 币 区 块 已 经 找到 ,但 后 
面 6 个 比特 币 还 没有 找到 。 这 时 ， 爱 丽 丝 可 以 索取 两 个 存款 。 可 以 通过 
增加 时 间 单 位 来 降低 可 能 性 ， 但 是 会 牺牲 速度 。 


这 是 一 个 清晰 明了 的 协议 ， 但 是 截至 2015 年 ， 还 没有 人 用 到 。 相 
反 ， 所 有 加 密 货 币 都 是 在 传统 的 中 心 化 的 交易 系统 里 交易 。 造 成 这 种 
现象 有 很 多 原因 : 第 一 是 该 协议 的 复杂 、 不 便 和 缓慢 ;第 二 ， 这 个 协 
议 可 以 防止 偷盗 货币 ， 但 是 不 能 防范 服务 性 攻击 。 有 人 或 许 以 诱 人 的 
兄 换 价格 作为 广告 但 是 在 协议 原型 的 第 一 步 或 第 二 步 束 反悔 退出 ， 
这 浪费 了 每 个 人 的 时 间 。 为 了 减缓 这 种 情况 ， 也 为 了 集合 并 匹配 大 家 
的 需求 ， 可 能 需要 一 个 中 心 化 的 交易 平台 (机制 ， 即 使 如 此 ， 也 不 
能 完全 相信 它 不 会 偷 你 的 货币 。 这 种 情况 进一步 降低 了 该 协议 原型 的 
使 用 范围 。 


10.6 侧 链 一 一 基于 比特 币 的 男 类 币 


本 章 前 面部 分 探讨 过 给 现 有 比特 币 所 有 者 配置 新 的 男 类 币 的 两 种 
方法 : 或 者 要 求 用 户 把 比特 币 销毁 从 而 得 到 为 类 币 ， 或 者 简单 地 把 为 
类 币 发 给 现 有 比特 币 所 有 者， 这 些 所 有 者 必须 拥有 还 没有 用 挥 的 比特 
币 。 正 如 我 们 看 到 的 ， 任 何 一 种 方式 都 不 需要 另类 币 的 价格 盯 住 比特 
币 。 没 有 这 种 汇率 锁定 机 制 ， 在 发 展 初 期 ， 帮 类 币 的 价格 会 变化 很 
大 。 侧 链 (sidechains) 的 目的 就 是 避免 另类 币 价 格 变化 太 大 ， 因 为 价 
格 的 波动 太 大 会 导致 很 多 问题 ， 也 会 使 妨 类 币 分 心 乏术 ， 无 法 真正 专 
注 于 技术 上 的 苋 争 。 


下 面 介绍 使 男 类 币 的 价格 以 固定 汇率 的 形式 盯 住 比特 币 的 相关 技 
术 。 自 完 ， 所 有 者 必须 把 所 拥有 的 一 定数 量 的 比特 币 放 入 托管 账户 ， 
这 样 才能 创造 出 一 个 单位 的 另类 币 〈 或 者 固定 单位 的 另类 币 ) ， 这 样 
所 有 者 才 可 以 在 另类 币 区 块 链 上 正 钊 使 用 另类 币 。 最 后 ， 所 有 着 必须 
能 够 销毁 目 己 拥 有 的 另类 币 ， 从 而 取 回 之 前 存在 托管 账户 上 的 比特 
币 。 这 种 构建 像 零 币 ， 通 过 托管 基础 币 而 创造 零 币 。 区 别 在 于 ， 需 要 
在 两 个 不 同 的 区 块 链 里 进行 上 述 操作 。 


遗憾 的 是 ， 据 我 们 了 解 ， 由 于 比特 币 的 交易 无 法 被 其 他 区 块 链 的 
事件 所 有 影响， 目前 还 未 找到 可 以 不 改动 比特 币 而 达到 这 种 效果 的 方 
法 。 截 至 目前 ， 比 符 币 的 脚本 还 没有 强大 到 可 以 确认 整个 单独 的 区 块 
链 。 好 消 恩 是 ， 我 们 可 以 通过 相对 实用 一 点 的 软 分 义 来 修改 比特 币 ， 
这 也 是 侧 链 的 原理 。 侧 链 的 愿景 是 ， 将 比特 币 作为 储备 货币 ， 打 造 多 
种 条 盈 发 展 、 快 速 创 新 和 实验 的 男 类 币 。 截 至 2015 年 ， 侧 链 还 只 古 一 
个 提案 。 但 是 比特 币 社区 正在 积极 参与 这 个 提案 ， 目 前 已 取得 一 些 实 
质 性 的 进展 。 侧 链 的 提案 还 处 于 变化 之 中 ， 所 以 为 了 便于 学 习 和 理 
解 ， 我 们 适当 简化 了 一 些 细节 。 


扩展 比特 币 的 功能 ， 使 之 能 够 使 侧 链 兑换 成 比特 币 ， 最 显而易见 
但 不 太 实 用 的 办 法 是 : 把 所 有 侧 链 的 规则 ， 包 括 验 证 所 有 侧 链 的 交易 
和 检查 侧 链 的 工作 量 证 明 ， 都 包 侣 在 比特 币 体 系 里 。 这 个 方法 不 实用 
征 因为 这 样 会 使 比特 币 扩展 出 来 的 程序 过 于 复杂 ， 验 证 比特 币 的 节点 
会 非常 困难 。 而 且 ， 链 接 上 的 侧 链 越 多 ， 复 杂 度 和 困难 度 惑 越 大 。 


SPV 技 巧 


可 以 使 用 SPV 证 明 技 巧 来 避免 这 种 复杂 局 面 。 在 第 3 章 中 ， 我 们 曾 
提 到 简单 付款 验证 (Simple Payment Verification ， 简 称 SPV) 。SPV 可 
用 于 小 的 客户 端 ， 比 如 手机 上 的 比特 币 应 用 程序 (APP) 。SPV 布 点 不 
需要 对 其 不 感 兴趣 的 交易 做 验证 ， 它 们 只 校 验 区 块 的 标题 。SPV 客 户 只 
看 他 们 感 兴趣 的 交易 ， 并 确信 是 在 最 长 的 区 块 链 内 ， 并 不 担心 该 链 是 
否 是 最 长 的 有 效 链 。 因 为 他 们 假定 矿工 在 创建 该 区 块 链 并 花 精 力 去 控 
矿 之 前 ， 已 经 验证 过 里 面 的 交易 了 。 


也 许 ， 可 以 扩展 比特 币 的 脚本 让 它 能 验证 侧 链 里 某 些 特殊 的 交易 
(比如 销毁 一 个 侧 链 币 的 交易 ) 。 在 比特 币 里 使 用 这 种 延展 命令 的 节 
点 ， 仍 然 会 全 面 验证 比特 币 的 区 块 链 ， 但 是 在 侧 链 里 ， 可 能 只 会 验证 
相对 轻 量 级 的 SPV 。 


对 一 个 交易 提出 异议 


这 种 方法 要 好 一 些 ， 但 仍 不 完美 。 即 使 做 最 简化 的 验证 ， 比 特 币 
的 节点 仍然 要 链接 到 侧 链 的 点 对 点 网 络 〈 每 个 链接 上 比特 币 的 侧 链 都 
需要 如 此 ) ， 并 且 追 踪 所 有 侧 链 区 块 的 标题 用 于 决定 侧 链 最 长 的 分 
文 。 最 终 我 们 想 要 的 古 : 当 一 个 交易 要 把 侧 链 的 货币 转化 成 为 比特 币 


时 ， 它 本 身 束 包含 比特 币 节点 需要 的 用 于 验证 其 合法 性 的 所 有 信息 ， 
也 莽 是 说 ， 验 证 特定 的 侧 链 是 真实 发 生 的 。 这 融 是 SPV 证 明 的 定义 。 


这 里 介绍 一 种 可 行 的 办 法 ， 唯 一 的 缺憾 是 这 个 侧 链 的 组 成 部 分 还 
在 进一步 研究 中 。 为 了 在 比特 币 里 可 以 对 照 到 侧 链 ， 用 户 必须 证 明 : 
(1) 侧 链 区 块 里 包含 侧 链 交易 ; (2) 侧 链 的 标题 表明 这 个 区 块 已 经 
接受 过 一 定 次 数 的 认证 ， 这 意味 着 一 定数 目的 工作 量 证 明 。 比特 币 会 
验证 这 些 证 明 ， 但 是 不 会 去 验证 这 个 区 块头 部 展示 的 链 是 最 长 的 。 相 
反 ， 比 特 币 会 等 一 定 的 时 间 ， 比 如 1~2 天 ， 让 其 他 用 户 去 找 证 据 证 明 ， 
第 二 步 所 指 网 的 区 块 标题 并 不 在 最 长 分 文 上 。 一 旦 在 特定 时 间 范 围 内 
出 现 这 样 的 证 据 ， 比 特 币 体系 中 ， 接 受 该 侧 链 交易 的 区 块 将 会 被 认定 
为 无 效 。 


隐 合 的 逻辑 是 : 如 有 果 一 个 SPV 证 明 已 经 可 以 确定 ， 该 交易 不 在 最 长 
分 文 上 致使 其 不 应 该 被 认可 ， 那 么 应 该 有 一 些 侧 链 的 用 户 会 因 认可 这 
个 交易 而 遭受 损失 。 这 些 可 能 遭受 损失 的 用 户 ， 有 动力 去 辩 驶 SPV 证 
明 。 如 果 没 有 用 户 遭 受 损 失 〈 也 许 是 有 一 个 分 文 ， 或 者 重组 侧 链 ， 而 
且 该 交易 也 恰好 在 别 的 分 支 上 ) ， 那 接受 这 个 证 明 也 无 妨 。 


一 般 来 说 ， 系 统 这 样 设 计 ， 对 侧 链 问 题 并 非 毫 无 漏洞 ， 系 统 也 不 
会 阻止 你 目 己 搬 石头 古 目 己 的 脚 。 如 果 你 把 比特 币 转 成 有 加 蜜 隐患 的 
侧 链 ， 其 他 人 也 许 能 偷 走 你 的 侧 链 币 然后 再 转 成 比特 币 。 或 者 ， 在 侧 
链 的 挖 矿 ， 也 许 会 因为 侧 链 漏洞 而 全 部 月 浇 ， 导 人 致 对 应 的 比特 币 也 被 
偷 。 但 是 可 以 肯定 的 是 ， 侧 链 的 问题 不 会 又 摊 比 特 币 ;具体 地 说 ， 不 
管 侧 链 有 多 少 漏 筒 ， 所 有 者 都 无 法 在 侧 链 上 总 现 两 次 同一 货币 ， 也 束 
是 说 侧 链 不 允许 比特 币 控 矿 。 


通过 权益 证 明 精 简 SPV 证 明 的 条例 


还 有 一 个 障碍 需要 跨越 。 有 些 侧 链 生 成 区 块 的 速度 很 快 ， 也 许 每 
几 秒 钟 就 能 产生 一 个 区 块 。 这 种 情况 下 ， 对 比特 币 节 点 来 说 ， 单 单 验 
证 SPV 证 明 就 已 经 负担 很 重 了 。 这 时 ， 可 以 用 一 个 比较 聪明 的 统计 学 方 
法 ， 大 幅 减 少 对 N 个 区 块 的 验证 ， 也 就 是 大 幅 减少 O(N) 的 认证 次 数 。 


原理 如 下 : 当 验 证 深 城 在 区 块 链 中 的 一 个 区 块 ， 其 实 古 在 验证 每 
个 建立 在 这 个 区 块 上 的 所 有 的 区 块 都 符合 目标 困难 度 (target 
difficulty) , 即 满足 哈 布 值 < 目标 值 。 这 些 区 块 的 哈 布 值 均匀 地 分 布 在 
(0， 目标 值 ) 的 区 域 ， 从 统计 学 角度 看 ， 这 意味 着 大 约 25% 的 区 块 可 
以 满足 哈 布 值 < 目标 值 /4. 事实 上 ， 寻 找 N/4 个 区 块 满足 哈 布 值 < 目标 值 /4 
的 工作 量 和 计算 N 个 区 块 满足 哈 希 值 < 目标 值 的 工作 量 一 样 。 这 个 数字 4 
并 无 特别 ， 我 们 可 以 用 任何 数 代 替 。 


图 10.7 工作 证 明 跳 表 (proof-of-work skip list) [4 
注 : 区 块 包 含 指向 前 面 一 个 区 块 的 指针 和 指向 最 近 的 满足 哈 希 值 < 目标 /4 的 指针 。 这 个 原理 可 


以 重复 运用 ， 比 如 一 个 第 三 层级 的 指针 指向 满足 哈 希 值 < 目标 值 /16 凶 


这 束 意 味 着 如 采 找 到 某 种 方法 可 以 知道 哪些 区 块 满足 哈 希 值 < 目标 
值 4， 仅 验证 这 些 区 块 〈 或 者 区 块 的 头 部 ) 就 可 以 使 用 1/4 的 工作 量 完 
成 全 部 任务 。 如 何 找到 哪些 区 块 满足 哈 希 值 < 目标 值 4 呢 ? 其 实 答案 在 
区 块 本 刁 。 图 10.7 显 示 ， 每 个 区 块 包含 指 癌 前 面 一 个 区 块 的 指针 ， 以 及 
指 回 最 近 的 满足 哈 布 值 < 目标 /4 的 指针 。 


可 以 压低 目标 值 到 多 小 ? 是 否 可 以 选择 很 大 的 数 ， 让 目标 值 变 得 
非常 小 ? 管 案 是 否定 的 。 这 种 方式 的 原理 束 像 矿 池 ， 却 是 反方 同 的 操 
作 。 在 矿 池 里 ， 矿 池 管理 员 验 证 大 家 的 份额 ， 也 就 是 验证 这 些 难度 系 
数 低 《比较 高 的 目标 值 ) 的 区 块 。 矿 工 找到 比 区 块 更 多 的 份额 ， 所 以 


矿 池 管理 员 必 须 多 做 一 道 验 证 程序 的 工作 。 这 样 做 的 好 处 就 是 ， 能 够 
比较 精准 地 估计 矿工 的 哈 布 算 力 一 一 信 计 值 的 方差 较 小 。 


我 们 来 看 相反 的 交易 。 随 着 估算 建造 整个 区 块 链 的 工作 的 减少 ， 
估算 值 就 有 很 大 的 方差 。 例 如 ， 假 设 N=4， 在 没有 使 用 跳 表 的 方案 下 ， 
会 检测 到 有 4 个 区 块 满足 喻 希 值 < 目标 值 。 如 采 一 个 恶意 的 竞争 对 手 要 
欺骗 我 们 ， 他 需要 伦 4 倍 于 我 们 找到 一 个 区 块 的 平均 工作 量 才能 办 到 。 


假设 这 个 竞争 对 手 只 做 了 一 半 的 工作 。 可 以 算出 ， 竞 争 对 手 有 14% 
的 机 会 能 找到 4 个 区 块 满足 哈 硕 值 < 目标 值 。 相 反 ， 在 跳 表 方案 下 用 4 作 
为 倍数 ， 竞 争 对 手 的 任务 变 成 需要 找到 一 个 区 块 ， 满 足 哈 硕 值 < 目标 
值 /4。 在 这 种 情况 下 ， 人 懒惰 的 只 做 了 一 半 工 作 的 竞争 对 手 ， 却 有 40% 的 
机 会 骗 过 我 们 ， 而 不 仅仅 是 14% 。 


[1] 跳 表 是 一 种 随机 化 的 数据 结构 ， 目 前 开源 软件 Redis: 和 LevelDB 都 有 用 到 它 。 一 一 译 者 


[2] 16 是 2 的 1+3 次 方 。 一 一 译 者 注 ， 以 此 类 推 。 


10.7 以 太 坊 和 智能 合约 


我 们 已 经 介绍 了 几 种 用 比特 币 的 脚本 语言 写 出 有 趣 的 应 用 的 方 
法 ， 如 有 托管 功能 的 文 付 交 易 。 我 们 也 看 到 比特 币 脚 本 语言 的 一 些 瓶 
颈 : 只 有 很 少 的 指令 ， 并 不 符合 图 灵 计 算 的 标准 。 因 此 ， 很 多 新 的 为 
类 币 增添 与 应 用 程序 相关 的 特殊 功能 。 域 名 币 是 第 一 个 尝试 ， 后 来 义 
有 许多 加 蜜 货币 ， 类 似 于 比特 币 但 是 文 持 赌博 、 股 票 发 行 、 市 场 预 测 


4 私 。 
十 


设想 我 们 不 需要 为 了 每 个 应 用 程序 ， 每 次 都 建设 一 套 新 的 系统 ， 

而 是 创造 出 一 个 加 密 货币 系统 ， 以 支持 所 有 未 来 可 以 想象 到 的 任何 应 
用 。 这 束 是 所 请 的 图 灵 完 备 一 一 据 我 们 理解 ， 满 足 图 灵 完 备 标准 的 编 
程 语 言 ， 可 以 让 你 写 出 网 灵机 可 以 完成 的 任意 功能 ， 它 可 计算 的 函数 
和 图 灵机 可 计算 的 函数 是 完全 相同 的 。 因 此 ， 每 一 图 灵 完 备 的 编程 语 
言 一 一 包括 我 们 熟悉 的 Java、Python 和 Lisp 都 是 图 灵 等 价 的 。 如 果 
不 考虑 实际 中 的 丛 单 性 和 表现 ， 图 灵 完 备 是 我 们 在 编程 语言 有 关 表 达 
能 力 上 需要 的 最 好 的 性 质 。 


从 某 种 程度 上 讲 ， 今 天 加 密 货币 的 发 展 使 人 回想 起 20 世 纪 40 年 代 
早期 计算 机 发 展 的 时 代 : 在 第 二 次 世界 大 战 时 ， 建 造 大 量 的 复杂 的 只 
有 某 种 特定 功能 的 计算 器 (比如 用 于 暴力 破解 密码 的 机 器 和 海军 用 于 
确定 发 射 弹道 轨道 的 机 器 ) ， 这 些 工作 促使 研究 专家 致力 于 建造 第 一 
个 可 重复 编程 的 通用 计算 机 。 任 何 可 预见 的 应 用 程序 都 可 以 使 用 该 计 
算 机 ( 见 图 10.8) 。 


图 10.8 在 布 莱 切 利 园 (Bletchley Park) 博物 馆 重建 的 炸弹 机 (Bombe) 

注 : 炸弹 机 是 一 个 由 阿兰 :图 灵 (Alan Turing) 设计 的 特殊 功能 的 高 级 计算 机 ， 用 于 破解 德国 的 
英 格 玛 (Enigma) 密 码 。 通 用 计算 机 取代 类 似 炸 弹 机 的 精巧 装备 ， 以 太 币 能 否 也 能 像 这 样 取 代 特 
殊 功 能 的 另类 币 呢 ? 


以 太 币 (Ethereum) 是 一 种 雄心 勃勃 的 另类 币 ， 致 力 于 提供 一 种 满 
足 图 灵 计 算 要 求 的 可 编程 语言 ， 用 这 种 语言 可 以 编写 脚本 或 者 合约 。 
虽然 有 其 他 方案 可 以 做 到 这 一 感 ， 但 是 以 太 坊 无 疑 是 最 引 人 注 目的 : 
它 使 用 了 几 个 创新 的 技术 ， 成 功 地 完成 了 众 筹 ， 在 几 个 月 内 筹资 两 二 
万 美元 ， 并 且 采 用 激进 的 参数 ， 比 如 使 用 较 短 的 产生 区 块 的 时 间 参 
数 。 以 太 坊 系统 本 身 很 复杂 ， 需 要 再 编写 一 本 新 的 教材 才能 完整 阐 
述 ， 本 市 只 做 简要 讨论 。 


入 能 合约 编程 模式 、 


智能 合约 最 初 是 用 来 指使 用 计算 机 系统 (或 者 其 他 自动 化 方式 ) 
来 执行 合约 。 例 如 ， 你 可 以 把 目 动 售 货 机 看 成 一 个 销售 商品 的 智能 合 
约 ， 执 行 的 就 是 你 和 机 器 主人 之 间 关 于 如 何 购买 一 个 糖果 的 合约 。 


在 以 太 坊 体系 ， 一 个 合约 就 是 一 个 存在 区 块 链 里 的 程序 。 任 何人 
支付 一 点 费用 ， 束 可 以 用 特定 的 操作 将 他 的 程序 上 传 ， 建 立 一 个 以 太 
坊 合约 。 这 个 合约 是 用 字 节 人 码 (bytecode) 写 的 ， 可 以 被 特殊 的 以 太 坊 专 
用 虚拟 机 (Ethereum-specific Virtual Machine， 人 简称 EVM) 执行 。 一 旦 
合约 上 传 ， 便 永远 存在 在 区 块 链 里 。 智 能 合约 有 它 目 己 的 资金 账户 ， 
其 他 用 户 可 以 调用 程序 里 面 开 放 的 应 用 程序 编程 接口 (API)， 合 约 可 以 
收发 款项 。 


一 个 简单 的 例子 : 以 太 坊 中 的 域名 币 


我 们 说 以 太 坊 可 以 用 来 执行 任何 特定 应 用 的 另类 币 功能 。 举 个 简 
单 的 例子 ， 我 们 可 以 展示 使 用 一 个 简单 的 以 太 坊 合约 ， 来 构建 出 域名 
币 形式 的 功能 。 


图 10.9 所 示 就 是 一 个 构建 的 案例 。 它 是 以 “稳健 ”语言 (Solidity) 
编写 , “稳健 "是 以 太 坊 里 用 于 定义 合约 的 高 级 编程 语言 。 这 个 合约 产生 
一 个 原始 的 域名 /数值 (name/value) 储存 配对 或 者 注册 名 。 和 名字 永 远 连 
着 数字 。 这 个 合约 定义 了 一 个 数字 变量 一 一 注册 表 (registryTable) ,里 
面 有 32 比 特长 字 节 和 公开 密 钥 的 配对 关系 。 初 始 时 期 ， 每 个 字 节 都 对 
应 着 空地 址 0x0000000...000。 这 个 合约 同时 定义 了 单一 入 口 点 ， 叫 “用 
户 名 称 ” (dlaimName) 。 这 个 入 口 点 只 接受 名 字 参 数 。 首 先 ， 这 个 合 
约 确认 调用 这 个 合约 的 人 已 经 支付 了 至 少 10 个 wei。wei 是 在 以 太 坊 里 最 
小 的 货币 单位 。 如 果 没 有 支付 10wei, 合约 自动 终止 并 发 出 错误 信号 

(“throw” 的 编程 命令 就 做 这 些 ) 。 如 果 足 够 的 wei 已 经 发 出 而 且 这 个 名 
字 还 没有 被 注册 ， 那 么 这 个 名 字 束 和 调用 的 地 址 永久 地 联系 在 一 起 。 


contract NameRegistry { 
mapping(bytes32 => address) public registryTable; 
function claimName(bytes32 name) { 
if (msg.value < 16) { 
throw; 
} 
if (FegistryTable[name] == 6) { 
registryTable[name| = msg.sender; 


} 


合约 


GCC 


图 10.9 一 个 用 于 实现 域名 注册 功能 的 简单 以 太 坊 智 角 


以 上 就 古 这 个 8 行 代码 的 合约 能 做 的 事 。 我 们 还 可 以 多 论点 时 间 ， 
把 其 他 域名 币 有 的 功能 都 在 这 个 合约 里 实现 。 比 如 ， 可 以 存储 拥有 者 
地 址 以 外 的 信息 ， 通 过 存储 上 次 更 新 时 间 来 要 求 域名 的 主人 定期 地 重 
新 注册 ， 并 且 人 允许 其 他 用 户 拥 有 长 期 不 更 新 的 域名 权 。 


我 们 还 可 以 加 第 二 个 功能 ， 人 允许 钱 回 撤 。 按 照 初 始 的 代码 设计 ， 
钱 只 能 不 断 堆 积 在 合约 里 ， 也 就 意味 着 从 流通 中 消失 。 当 然 ， 在 可 以 
回 撤 钱 的 程序 里 ， 最 好 能 设 定 ， 调 用 回 撤 的 是 合约 的 主人 。 任 何人 在 
以 太 坊 都 可 以 调用 任何 方程 ， 但 征用 户 是 指定 的 ， 所 以 能 确认 谁 是 真 
正 调用 方程 的 人 。 


燃料 、 激 励 和 安全 


和 比特 币 不 一 样 的 是 ， 以 太 坊 文 持 循 环 语 句 ， 虽 然 第 一 个 例子 里 
并 不 需要 循环 。 循 环 语句 一 听 就 容易 让 人 产生 和 警觉， 因为 有 循环 的 地 
方 束 会 有 无 限 死 循环 。 从 根本 上 说 ， 以 太 坊 合约 有 可 能 因为 种 种 原因 
而 无 限 循 环 。 计算 机 领域 里 一 个 著名 的 研究 结果 (难以 判断 的 终止 问 


题 ) 证 明 ， 不 存在 任何 算法 ， 可 以 根据 源 代码 去 判断 一 个 程序 是 否 可 
以 无 限 运 行 下 去 。 因 此 ， 我 们 如 何 防止 合约 无 限 运行 下 去 呢 ? 


更 进一步 讲 ， 即 使 条 约 不 会 无 限 运 行 ， 也 需要 某 种 方式 来 限制 它 
不 会 运行 太 久 。 以 太 坊 体 系 通过 一 种 称 作 “燃料 费用 ”的 机 制 来 实现 这 一 
点 。 简 单 地 说 ， 每 执行 一 条 虚拟 机 器 的 指令 需要 花费 一 小 部 分 的 成 本 
费用 ， 我 们 称 之 为 “燃料 费用 ”。 不 同 的 操作 人 花费 不 同 。 基 本 的 像 加 减 操 
作 只 花费 1 单位 燃料 费用 ， 而 计算 SHA-3 哈 希 值 (内 置 画 数 ) 需要 20 单 
位 燃料 费用 ， 在 永久 存储 器 上 写 256 比 特长 的 字符 需要 100 单 位 燃料 费 
用 。 每 笔 交 易 也 需要 先 文 付 21 000 单 位 燃料 费用 。 你 可 以 把 以 太 坊 体系 
想象 成 超级 折扣 的 航空 公司 。 机 票 只 是 你 支付 乘 飞 机 的 费用 ， 任 何其 
他 需求 都 要 多 付 钱 。 完 整 操作 清单 和 固定 的 燃料 费用 都 可 以 从 以 太 坊 
里 找到 。 任 何 清单 和 费用 的 变动 都 需要 以 太 坊 产生 一 个 硬 分 又 ， 这 和 
比特 币 脚本 语言 的 语义 改变 一 样 。 


燃料 费用 是 通过 以 太 坊 体系 内 部 被 称 为 以 太 (ether) 的 货币 来 文 
付 的 。 它 只 是 在 用 来 支付 合约 操作 的 时 候 才 叫 燃料 费用 。 每 笔 交 易 都 
规定 了 燃料 的 价格 ， 也 就 是 说 ， 每 份 燃料 需要 多 少 以 太 。 人 燃料 费用 就 
像 比 特 币 的 交易 费 ， 矿 工 可 以 自由 公布 交易 的 燃料 费用 ， 每 个 矿工 都 
可 以 独立 地 决定 收费 方式 。 这 样 会 得 出 一 个 反映 市 场 供 求 关 系 的 燃料 
市 场 价格 。2016 年 年 初 ， 虽然 以 太 坊 网 络 体系 还 是 属于 实验 阶段 ， 市 
场 已 经 默认 50 gigawei 为 1 单位 价格 。50gigawei 等 于 5x10-8 以 太 ， 根 据 
以 太 币 和 比特 币 2016 年 1 月 的 汇 欧 比例， 这 也 束 是 大 约 3x10-20 比特 币 。 


每 次 调用 之 前 ， 必 须 设 定 燃料 费用 的 最 高 限 ， 也 就 是 愿意 文 付 价 
格 的 最 大 值 。 当 达到 这 个 值 (燃料 用 完了 ) ， 程 序 就 会 终止 ， 发 生 的 
所 有 程序 状态 的 变化 避 ® 会 被 重新 设置 到 原始 状态 ， 但 是 矿工 还 是 保留 
燃料 。 由 此 可 见 ， 不 要 用 完 燃 料 ， 这 一 点 非 常 重 要 。 


燃料 的 使 用 要 求 ， 意 味 着 以 太 坊 不 适合 很 耗费 资源 的 计算 。 以 太 
坊 系统 未 被 设计 成 像 云 计 算 那 样 的 服务 ， 即 文 付 一 定 的 费用 让 云 服 务 


完成 目 己 无 法 做 到 的 计算 。 像 亚马逊 的 弹性 计算 云 或 者 微软 云 计 算 平 
台 ， 提 供 划算 百 万 倍 的 计算 量 。 另 一 方面 ， 以 太 坊 更 加 适合 创建 安全 
逻辑 协议 。 本 质 上 来 说 ， 以 太 坊 提供 了 一 种 两 个 或 者 多 个 匿名 交易 着 
可 以 信赖 的 服务 系统 。 


以 太 坊 上 区 块 链 的 安全 还 没有 像 比特 币 一 样 完善 。 理 论 上 ， 以 太 
坊 比较 复杂 ， 也 比较 难以 用 数学 推理 来 论证 。 实 际 上 ， 以 太 坊 才刚 刚 
开始 发 展 ， 其 安全 性 还 没有 像 比特 币 一 样 经 过 很 多 考验 。 尤 其 是 ， 担 
心 处 理 交 易 的 成 本 会 让 类 似 比 特 币 的 激励 机 制 失效 ， 我 们 在 共同 控 矿 
的 分 析 中 讨论 过 存在 这 种 担心 的 情况 。 当 交易 成 本 占 矿 工 的 总 成 本 的 
比重 不 再 能 忽略 不 计 的 时 候 ， 大 的 矿工 有 明显 优势 ， 因 为 成 本 和 哈 希 
算 力 相 互 独立 。 更 重要 的 是 ， 燃 料 只 文 付 给 最 初 包括 该 交易 的 区 块 的 
控 工 。 但 是 所 有 的 在 这 之 上 建立 区 块 的 矿工 都 必须 验证 该 区 块 ， 却 得 
不 到 任何 报酬 。 这 意味 着 ， 他 们 将 有 动力 去 跳 过 该 验证 。 正 如 之 前 所 
看 到 的 ， 这 种 情况 不 利于 区 块 链 体系 的 健康 发 展 。 


第 二 个 例子 以太 坊 体系 中 的 国际 象棋 


我 们 还 没 涉及 以 太 坊 中 新 功能 如 何 运 用 ， 所 以 让 我 们 看 第 二 个 案 
例 。 假 设 爱丽 丝 和 鲍 勃 下 国际 象棋 ， 财 注 是 一 定数 额 的 金 线 。 唯 一 的 
问题 是 爱丽 丝 和 鲍 盈 生 活 在 不 同 的 国家 ， 他 们 都 不 相信 对 方 输 了 会 文 
付 赌 注 。 这 个 问题 可 以 用 以 太 坊 来 解决 。 


爱丽 丝 写 下 以 太 坊 程序 ， 这 个 程序 设 定 了 国际 象棋 的 规则 并 且 被 
上 传 到 以 太 坊 网 络 。 她 给 这 个 合约 文 付 一 定数 量 的 以 太 作为 财 注 。 鲍 
靳 可 以 看 到 这 个 合约 ， 如 采 他 答应 接受 挑 成 ， 他 把 他 的 赔 注 文 付 给 这 
个 合约 ， 就 等 于 开始 了 这 个 游戏 。 鲍 勃 在 接受 挑战 之 前 应 该 确认 ， 这 
个 合约 是 准确 无 误 地 遵守 了 国际 象棋 的 规则 ， 并 且 最 后 会 把 所 有 赌注 
文 付 给 获胜 者 。 


一 旦 双方 痢 文 付 了 了 赌注， 假设 他 们 约定 下 同样 的 赌注 ， 合 约会 检 
查 双方 的 赌注 古 否 相 等 。 这 时 候 ， 游 戏 束 开始 了 。 任 何 一 方 除非 霹 了 
游戏 ， 否 则 无 法 从 合约 里 取出 钱 来 。 其 他 人 在 任何 情况 下 也 无 法 取得 
这 笔 钱 。 


爱丽 丝 和 饱 劲 轮流 把 目 己 的 下 棋 步 又 发 给 这 个 合约 。 这 个 合约 也 
会 检查 轮 到 谁 下 确保 指令 生 由 爱丽 丝 或 者 鲍 邯 发 出 ， 而 不 是 其 他 人 。 
大 家 是 否 还 记得 调用 者 需要 在 每 个 操作 (促使 合约 执行 一 个 动作 ) 上 
签名 ， 因 为 合约 可 以 根据 签名 确认 调用 者 。 合 约 也 会 根据 国际 象棋 的 
规则 校 验 双方 的 步 又 。 如 采 一 方 试 图 把 兵 移 动 3 格 ， 合 约会 拒绝 该 步 


又 。 


到 最 后 游戏 结束 。 合 约 在 每 一 步 都 会 检测 是 否 有 一 方 被 将 军 ， 或 
者 双方 打 平 ， 或 者 满足 其 他 打 平 的 条 件 。 玩 家 也 可 以 发 送 投降 的 指 
令 。 当 游戏 结束 时 ， 合 约 终止 ， 并 把 所 有 的 钱 支 付 给 获胜 者 ， 或 者 平 
局 下 平分 财主。 


从 概念 上 看 ， 这 是 一 个 以 太 坊 的 简单 应 用 ， 但 是 有 很 多 微妙 的 地 
方 值得 探讨 。 如 采 一 方 快 输 了 他 了 束 放弃 了 ? 合约 应 该 设 定 一 个 机 制 ， 
如 琳 一 方 在 规定 的 时 间 没 有 提交 有 效 的 下 一 步 ， 钱 束 文 付 给 男 一 方 。 


哪个 玩家 先 走 呢 ? 日 方 完 走 的 话 ， 日 方 瑟 拥有 微小 的 优势 。 
此 ， 双 方 部 想 做 日 方 。 这 束 磁 到 了 以 太 坊 合约 的 一 个 难题 ， 没 有 内 鞋 
的 随机 源 。 之 所 以 是 一 个 难题 ， 是 因为 随机 数 发 生 器 需要 所 有 矿工 的 
检验 (因为 他 们 需要 检验 合约 是 否 正 确 地 执行 ) ， 但 是 这 些 随 机 数 对 
任何 人 来 说 都 是 不 可 预测 的 (否则 的 话 ， 玩 家 也 许 就 因为 不 能 先 走 而 
拒绝 参加 这 个 游戏 ) 。 


随机 数 “ 信 号 塔 *(randomness beacons) 可 以 解决 这 个 问题 。 正 如 9.4 
万 讨论 的 ， 在 双方 都 加 入 游戏 后 ， 合 约 计算 区 块 链 下 一 个 区 块 的 哈 硕 
值 。 对 这 个 特定 的 游戏 应 用 而 言 ， 这 个 问题 比较 容易 解决 ， 因 为 只 


让 爱丽 丝 和 鲍 劲 双方 确信 决定 谁 先 谁 后 是 随机 的 ， 这 样 区 满 足 要 求 ， 
而 不 需要 向 所 有 和 人 证明。 所 以 他 们 可 以 采用 9.3 市 的 办 法 : 他 们 两 个 同 
时 提交 一 个 随机 数 的 哈 硕 值 ， 并 且 公 开 他 们 的 输入 值 ， 然 后 从 双方 的 
输入 总 值 算出 随机 数 。 实 际 操作 中 ， 以 上 两 种 方法 都 可 以 使 用 。 


其 他 应 用 


用 。 我 们 在 课本 里 讨论 的 大 部 分 应 用 ， 包 括 市 场 预计 、 智 能 资产 、 托 
管 文 付 、 微 文 付 渠 道 和 混合 服务 ， 痢 可 以 在 以 太 坊 体系 里 实 更。 这些 
应 用 都 有 其 细微 的 区 别 ， 但 是 相对 比特 币 死 板 的 协议 ， 大 多 数 情 
下 ， 这 些 应 用 都 能 相对 容易 地 在 以 太 坊 体系 内 完成 。 


以 太 坊 的 状态 和 账户 余额 。 第 3 章 中 ， 我 们 讨论 了 账本 的 两 种 
方法 : 基于 账户 和 基于 交易 。 在 一 个 基于 交易 的 账本 中 ， 如 比特 币 ， 区 
块 链 只 存储 交易 (加 上 一 些 少量 的 转载 标题 的 设置 数据 ) 。 为 了 方便 
验证 交易 ， 比 特 币 的 币值 是 无 法 分 割 的 ， 即 交易 的 结果 必须 整体 被 消 
费 ， 可 以 自己 消费 ， 或 者 如 果 需 要 的 话 ， 换 地 址 消费 。 交 易 实际 上 是 
在 全 球状 态 表 上 操作 的 ， 这 个 表 称 为 “未 花费 交易 输出 列表 *。 但 是 比特 
币 的 协议 并 没有 明确 规定 这 个 全 球状 态 表 。 全 球状 态 表 的 产生 纯粹 是 
矿工 为 了 加 快 验证 过 程 而 创造 出 来 的 。 


男 一 方面 ， 以 太 坊 则 是 基于 账户 的 模式 。 由 于 以 太 坊 已 经 存储 了 
合约 地 址 和 状态 的 对 照 表 的 数据 结构 ， 很 自然 地 也 同时 存储 每 个 普通 
地 址 (或 者 叫 拥有 者 的 地 址 ) 的 账户 余额 。 这 意味 着 ,与 非 闭 环 式 的 
交易 文 付 模式 必须 有 输入 和 输出 不 同 ， 以 太 坊 存储 每 个 地 址 的 账户 余 
额 ， 这 一 点 ， 与 银行 存储 每 个 账户 余额 的 方式 类 似 。 


以 太 坊 的 数据 结构 。 在 第 3 章 ， 我 们 提 到 基于 账户 的 账本 需要 精 
心 设计 的 数据 结构 来 存储 记录 。 以 太 坊 束 有 这 样 的 数据 结构 。 具 体 来 
说 ， 每 个 区 块 包含 每 个 地 址 的 目前 状态 (账户 余额 和 交易 数 ) 的 摘 
要 ， 同 时 也 包含 每 个 合约 的 状态 (余额 和 存储 空间 ) 。 每 个 合约 的 存 
储 树 结构 映射 256 比 特 的 地 址 和 256 比 特 的 字 节 。 这 样 可 以 存储 巨 量 的 
(2236 x256=264 ) 信息 。 当 然 ， 这 只 不 过 是 理论 上 的 可 能 空间 ， 我 们 
不 会 用 到 这 么 大 的 存储 空间 。 数 据 结构 里 面 提供 的 摘要 ， 使 验证 一 个 
地 址 有 多 少 余额 或 者 空间 变 得 相对 容易 。 比 如 ， 不 需要 鲍 勃 从 头 到 尾 
扫 摘 整 个 区 块 链 ， 爱 丽 丝 殉 可 以 癌 鲍 邯 证 明 她 有 多 少 余 额 。 


此 时 ， 比 特 币 用 简单 的 二 项 梅 克 尔 树 的 结构 可 以 派 得 上 用 场 。 
为 它 可 以 把 有 效 的 证 明 数 据 存在 该 区 块 里 《要求 矿工 确信 对 于 相同 的 
地 址 ， 每 个 树 状 数据 结构 都 要 求 该 地 址 相同 的 状态 ) 。 但 是 我 们 也 项 
望 能 够 更 快 地 查询 地 址 并 且 能 够 有 效 更 狐 地 址 的 数值 。 为 了 达到 这 个 
目的 ， 以 太 坊 使 用 比较 复杂 的 树 状 结构 ， 叫 由 特 里 夏 树 (Patricia 
tree) 、 前 级 树 (prefix tree) 、 字 典 树 (trie) 或 基数 树 (radix tree) 。 
每 个 以 太 坊 区 块 包含 梅 克 尔 - 帕 特 里 夏 树 (Merkle Patricia tree) 的 树 
根 ， 它 保存 每 个 地 址 的 状态 ， 也 包含 合约 地 址 。 每 个 合约 的 状态 ， 包 
含 一 个 树 状 数据 结构 用 来 保存 合约 的 存储 状态 。 


基于 账户 账本 的 另 一 个 不 易 处 理 的 问题 是 防止 重复 攻击 。 在 比特 
币 里 ,每 个 交易 部 使 用 “未 人 花费 交易 输出 列表 ”输入 ， 因 此 ， 任 何 相同 签 
名 认证 过 的 交易 ， 不 可 能 被 重复 使 用 两 次 。 但 是 在 以 太 坊 设计 里 ， 需 
要 确 人 当 爱 丽 丝 签 下 文 付 给 鲍 动 1 以 太 交 易 的 时 候 ， 鲍 动 不 能 一 次 义 一 
次 地 对 外 广播 并 重复 使 用 这 个 1 以 太 ， 直 到 把 爱丽 丝 的 账户 用 光 。 这 样 
的 交易 不 能 重复 ， 因 为 一 旦 使 用 了 ， 爱 丽 丝 的 交易 计数 会 增加 一 次 ， 
而 这 个 交易 计数 是 一 个 全 局 的 状态 参数 。 


总 的 来 说 ， 以 太 坊 使 用 比比 特 币 更 加 强大 的 数据 结构 来 管理 它 的 
账本 。 虽 然 我 们 没有 深入 全 究 它 的 数据 结构 ， 但 我 们 知道 ， 这 个 数据 


结构 使 得 账户 、 合 约 ， 以 及 交易 相关 声明 的 有 效 验 证 变 成 可 能 。 


以 太 坊 项 目 


以 太 坊 最 早 于 2013 年 年 末 开 始 讨论 ， 并 于 2015 年 第 一 次 发 布 ， 代 
号 先行 者 (Frontier) 。 以 太 坊 采用 预 售 的 方式 ， 以 固定 比特 币 价 格 公 
开 出 售 ， 并 把 所 有 的 预 售 款 投 入 以 太 坊 基金 会 。 


和 其 他 另类 币 相 比 ， 以 太 坊 发 展 比 较 缓 慢 ， 这 也 反映 了 以 太 币 是 
一 个 比较 复杂 的 系统 。 与 比特 币 相 比 ， 以 太 坊 增加 以 太 坊 专用 虚拟 机 
(EVM) ， 一 个 全 新 编程 模式 ， 一 个 全 新 的 数据 结构 。 此 外 ， 以 太 坊 
还 对 比特 币 的 共识 模式 做 了 大 的 修改 。 每 个 区 块 产 生 的 时 间 不 是 10 分 
钟 ， 而 是 12 秒 。 在 以 太 坊 体系 里 ， 过 时 区 块 的 比例 高 于 比特 币 体 系 ， 
为 了 减少 过 时 的 区 块 对 系统 的 影响 ， 以 太 坊 采用 另 一 个 叫 “ 铺 
灵 ”(GHOST) 的 协议 来 计算 共识 分 文 。 同 时 ， 以 太 坊 采用 不 同 的 工作 
量 证 明 。 目 前 采用 的 是 一 个 混合 的 哈 希 方程 ， 被 设计 成 只 能 用 记忆 体 
计算 。 玉 来 以 太 坊 计划 转 为 通过 权 苍 证 明 份额 证 明 的 体系 。 


以 太 坊 呈现 出 和 比特 币 在 设计 理念 上 的 巨大 差异 。 以 太 坊 项 目 由 
非 膏 利 机 构 主导 并 且 在 规划 和 决策 上 相对 比较 集中 ， 它 们 根据 历史 经 
验 对 以 太 坊 协议 进行 修改 ， 并 且 都 有 一 个 公开 的 时 间 表 。 按 规划 ， 将 
来 也 会 有 硬 分 又 。 而 且 ， 所 有 以 太 坊 合约 都 要 在 版 本 更 新 前 销毁 。 所 
以 ， 以 太 坊 还 是 一 个 未 来 会 有 很 多 变更 的 实验 性 体系 。 截 至 2015 年 ， 
投入 大 量 精力 在 以 太 坊 上 并 构建 真正 有 用 的 应 用 ， 现 在 看 来 是 有 点 太 
早 。 但 是 以 太 坊 无 疑 古 一 个 非常 有 潜力 的 系统 。 也 许 这 本 书 末 来 的 版 
本 将 会 命名 为 “以 太 坊 和 加 密 货币 技术 ”。 


本 章 主要 讨论 了 比特 币 如 何 成 为 其 他 加 密 货 币 和 另类 币 的 重要 组 
成 部 分 。 它 们 在 各 方面 相互 竞争 、 合 作 并 且 相 互 影响 ， 有 些 相 辅 相 


成 ， 有 些 是 相互 阻碍 。 在 未 来 ， 可 能 会 出 现 新 的 技术 ， 使 得 在 一 种 区 
块 链 可 以 直接 引用 另 一 个 区 块 链 的 交易 。 


但 截至 目前 ， 有 些 问 题 仍然 蕊 而 未 决 。 男 类 币 会 演变 并 相互 合 
并 ， 最 后 成 为 少数 男 类 币 主 罕 的 生态 系统 吗 ? 还 是 和 现在 一 样 多 样 
化 ? 特定 功能 的 男 类 币 会 芝 劲 发 展 ， 还 是 以 以 太 坊 为 标志 的 通用 编程 
平台 最 后 成 为 主流 ? 比特 币 和 男 类 币 之 间 的 相互 影响 是 有 益 的 吗 ? 每 
个 男 类 币 之 间 应 该 相互 独立 ， 比 如 用 不 同 的 挖 矿 文 题 而 不 十 去 共同 挖 
人 ? 我 们 现在 无 法 回答 上 述 这 些 问题 ， 但 我 们 已 经 讨论 了 所 有 这 些 你 
需要 理解 和 评估 的 重要 概念 。 


延展 阅读 


侧 链 日 皮 书 : 


Back,Adam,Matt Corallo,Luke Dashjr,Mark Friedenbach,Gregory 
Maxwell,Andrew Miller, Andrew Poelstra,Jorge Timon,and Pieter 
Wnuille.“Enabling Blockchain Innovations with Pegged Sidechains.”2014. 


您 可 以 通过 如 下 网 址 阅读 : 
https://blockstream.com/sidechains.pdf. 
关于 域名 币 和 使 用 其 他 用 加 密 币 设计 域名 /价值 储存 方法 的 论文 : 


Kalodner,Harry, Miles Carlsten,Paul Ellenbogen,Joseph Bonneau,and 
Arvind Narayanan.“An Empirical Study of Namecoin and Lessonsf or 
Decentralized Namespace Design. Presented at the Workshop on the 
Economics of Information Security,2015. 


您 可 以 通过 如 下 网 址 阅读 : 


http://randomwalker.info/publications/namespaces.pdf. 
以 太 坊 日 上 文书: 


Various authors.“A Next-Generation Smart Contract and Decentralized 
Application Platform.” 


您 可 以 通过 以 下 网 址 阅读 : 
http://github.com/ethereum/wiki/wiki/white-paper. 
分 析 以 太 坊 激励 机 制 错 配 的 学 术 论文 : 


Luu,Loi,Jason Teutsch,Raghav Kulkarni,and Prateek 
Saxena.“Demystifying Incentives in the Consensus Computer.” Proceeding 
of the 22nd ACM SIGSAC Conference on Computer and Communications 
Security ,New York:ACM™M, 2015. 


第 11 章 


去 中 心 化 机 构 : 比特 币 的 未 来 ? 


这 本 书写 到 这 里 ， 我 们 已 经 研究 了 比特 币 和 区 块 链 技术 截至 2015 
年 的 最 新 状态 。 本 章 将 讨论 的 是 ， 比 特 币 在 未 来 会 怎么 样 。 我 们 恪守 
能 言 “ 绝 不 预 冶 ， 特 别 钙 预言 未 来 "， 所 以 我 们 不 会 声称 知道 比特 币 未 来 
会 二 么 样 。 因 而 我 们 在 本 章 标题 使 用 了 问号 。 


但 是 我 们 继续 本 书 中 一 直 坚 择 的 学 术 控 讨 风 格 ， 用 以 研究 未 来 的 
科技 。 比 特 币 的 未 来 充满 了 热情 和 叹为观止 的 未 来 科技 革命 的 前 景 。 
本 章 可 以 写成 一 个 宣言 ， 但 我 们 不 准备 这 么 做 。 我 们 找 出 知名 的 方 
案 ， 用 谍 慎 冷静 的 方法 对 它们 分 类 ， 并 批判 地 分 析 它 们 的 相对 优势 和 
呈 执 G 


比特 币 是 一 个 内 容 丰 富 的 课题 ， 它 包含 了 协议 本 身 及 其 成 为 新 应 
用 平台 的 潜在 可 能 性 。 本 章 的 重点 不 在 于 比特 币 协议 的 未 来 。 虽 然 我 


NS 


们 意识 到 有 很 多 影响 比特 币 示 来 且 值 得 研究 的 方面 ， 比 如 ， 比 特 币 的 
管理 、 效 率 、 扩 展 性 和 功能 集合 。 


我 们 会 着重 讨论 比特 币 如 何 成 功 地 成 为 去 中 心 化 的 货币 ， 它 的 成 
功 经 验 能 促使 我 们 重新 思考 其 他 中 心 化 的 机 构 一 一 比如 从 事 股票 、 俩 
其 、 资 产 产 权 和 其 他 业务 的 机 构 。 我 们 不 橙 会 问 ， 区 块 链 是 否 能 够 用 
来 对 它们 去 中 心 化 。 我 们 不 仅仅 要 考虑 技术 上 去 中 心 化 的 可 能 性 ， 还 
要 考虑 ， 它 是 否 合乎 金融 规律 并 对 社会 有 利 ? 


11.1 区 块 链 作 为 去 中 心 化 的 工具 


在 比特 币 之 前 ， 有 很 多 数字 电子 货币 失败 的 尝试 〈 本 书 的 前 言 中 
提 到 了 许多 失败 的 案例 ) 。 比 特 币 与 大 多 数 失 败 的 尝试 之 间 ， 最 重要 
的 区 别 在 于 去 中 心 化 。 比 特 币 去 中 心 化 的 核心 创新 方法 是 使 用 区 块 
链 。 


在 这 一 六， 我 们 会 研究 区 块 链 技术 如 何在 货币 体系 以 外 的 领域 里 
实现 去 中 心 化 。 本 章 我 们 会 一 直 重 复 使 用 汽车 的 案例 ， 这 辆 车 的 所 有 
权 征 通过 区 块 链 来 控制 的 。 这 个 案例 是 我 们 在 第 9 章 中 介绍 的 智能 合约 
的 概念 里 的 具体 体现 。 早 在 1990 年 年 初 ， 尼 克 : 陕 博 (Nick Szabo) 和 
其 他 几 位 创新 性 提出 智能 资产 和 管理 智能 资产 的 数字 化 合约 ， 远 远 早 
于 比特 币 。 随 着 区 块 链 的 出 现 ， 这 个 想法 变 得 越 来 越 现实 和 具体 。 


令 人 或 舞 的 案例 


当代 的 汽车 使 用 两 种 主要 的 加 锁 机 制 (locking mechanisms) : 门 
上 的 物理 锁 和 通过 电子 锁 住 引擎 不 让 发 动 的 制 动 右 。 用 户 用 遥控 铀 是 
可 以 与 汽车 无 线 通 信 ， 根 据 遥 控 器 与 车 的 距离 或 者 用 户 按 下 按钮 的 特 
定 动作 ， 来 解锁 车 门 和 发 动 引 擎 。 


为 了 防止 假冒 钥 古 入 侵 ， 攻 钥 十 的 解锁 机 制 需要 加 密 。 虽 然 安 全 
专家 发 现 很 多 最 近 使 用 的 加 俩 机 制 存 在 很 多 问题 ， 但 是 他 们 是 有 可 能 
处 理 好 这 些 问 题 的 。 一 般 来 说 ， 这 些 算法 会 使 用 对 称 钥匙 加 密 技术 。 
在 我 们 这 个 案例 中 ， 用 的 是 基于 非 对 称 加 密 技术 的 类 似 椭圆 曲线 数字 
签名 算法 的 数字 签名 技术 。 


在 这 个 例子 里 ， 汽 车 储存 了 一 份 遥 控 需 的 公开 密 铀 ， 用 于 打开 车 
门 和 发 动 引 警 。 当 遥控 硕 请 求 开门 的 时 候 ， 汽 车 发 送 回 随机 数 并 要 求 
遥控 融 用 它 储存 的 密 钥 签名 。 只 有 遥控 万 准确 回复 签名 ， 寿 门 才 会 被 
打开 。 到 目前 为 止 ， 这 个 原理 和 实际 中 的 防盗 机 制 没 有 什么 大 的 区 
别 。 唯 一 的 区 别 是 ， 我 们 使 用 了 很 深 的 加 密 技 术 ， 安 厂 起 来 比较 昂 
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页 。 


实现 多 能 


这 次 设计 的 智能 汽车 ， 是 假设 用 来 验证 遥控 器 的 公开 密 钥 并 不 是 
靠 汽 车 制造 商 永 久 地 记录 在 汽车 里 ; 而 是 ， 吞 能 汽车 技术 上 可 以 不 间 
肠 地 ， 无 线 接 收 例如 比特 币 一 样 的 区 块 链 上 的 新 区 块 。 当 汽车 在 组 装 
三 组 厂 的 时 候 ， 遥 探 器 里 第 一 个 用 户 (比如 组 装 厂 的 经 理 ) 的 公开 密 
钥 通过 特殊 操作 加 入 区 块 链 。 同 时 ， 这 辆 智能 汽车 也 把 该 特殊 操作 的 
ID 写 入 它 目 带 的 程序 。 


核心 的 思想 是 ， 汽 车 更 改 所 有 权 的 时 候 一 一 从 装配 车 六 到 质量 监 
探 宝 到 运输 入 员 到 汽车 经 销 商 到 第 一 个 所 有 者 一 一 也 同时 更 新 到 区 块 
链 ， 区 块 链 同 时 授权 每 一 步 的 转换 。 值 得 注意 的 是 ， 在 这 个 模式 下 ， 
授权 用 的 遥控 器 没有 跟着 车 走 。 每 个 人 或 者 公司 都 有 一 个 预先 存在 的 
遥控 器 〈 或 者 带 着 某 种 有 遥控 器 功能 的 仪器 ) 。 这 个 遥控 器 里 面 有 一 
个 唯一 的 签名 密 钥 。 根 据 区 块 链 的 交易 ， 签 名 密 钥 被 激活 或 者 被 取消 
拥有 这 辆 车 的 权利 。 这 样 的 交易 以 车 最 新 的 交易 ID 为 输入 ， 同 时 设 定 
一 个 新 的 公共 密 钥 为 输出 TID。 汽车 目前 的 拥有 者 需要 用 私人 密 钥 在 这 
个 输出 ID 上 签名 。 


这 种 设计 和 我 们 在 第 9 章 讨论 的 智能 资产 相似 ， 除 了 一 个 重大 的 区 
别 : 区 块 链 的 交易 不 仅仅 表示 汽车 所 有 权 的 变更 ， 它 还 代表 真正 的 汽车 
物理 拥有 权 的 转移 。 当 汽车 通过 区 块 链 转 移 的 时 候 ， 前 车 主 的 遥控 器 


无 法 工作 ， 新 车 主 的 遥控 融 获 得 开门 和 局 动 引 擎 的 权利 。 让 所 有 权 等 
同 于 使 用 权 的 技术 有 着 深远 的 影响 ， 这 将 促使 强 有 力 的 去 中 心 化 。 但 
征 去 中 心 化 是 否 有 用 ， 这 并 不 容易 看 清楚。 我 们 将 在 11.4 节 回 过 头 来 


讨论 这 个 问题 。 


安全 的 交易 


假设 爱丽 丝 拥有 一 辆 智能 汽车 想 卖 给 鲍 邯 ， 能 够 数字 化 地 转移 汽 
车 控制 权 会 引起 几 个 有 趣 的 可 能 性 。 比 如 ， 爱 丽 丝 也 许 正在 国外 旅行 
正 需要 钱 来 文 付 旅费 ， 所 以 要 卖 抒 俘 在 她 家 后 院 车 库 的 汽车 。 只 要 联 
上 互联 网 ， 鲍 动 就 可 以 用 比特 币 支 付 给 爱丽 丝 车 钱 ， 爱 丽 丝 可 以 远程 
通过 区 块 链 把 车 的 所 有 权 转 移 给 鲍 艺 ， 鲍 动 束 可 以 开 走 这 辆 车 。 


然而 ， 这 样 的 交易 存在 一 定 的 风险 。 如 采 鲍 勃 先 文 付 ， 爱 丽 丝 也 
许 收 了 钱 而 不 转移 车 的 所 有 权 。 如 果 爱 丽 丝 先 转移 车 的 所 有 权 ， 鲍 动 
也 许 不 付 钱 就 把 车 开 走 了 。 即 使 假设 爱丽 丝 在 现场 ， 也 有 可 能 男 一 方 
突然 改变 主意 而 撤销 交易 。 这 时 候 让 不 在 场 的 第 三 方 来 调解 争议 也 很 
困难 。 


我 们 之 前 多 次 磁 到 这 种 问题 ， 包 括 在 合 币 (第 6 革 ) 和 域名 币 (第 
10 章 ) 中 。 解 决 这 类 问题 要 使 用 同样 的 原则 。 只 要 支付 的 货币 和 汽车 
的 拥有 权 同 时 存在 相同 的 区 块 链 ， 爱 丽 丝 和 鲍 动 就 可 以 产生 一 个 不 可 
分 割 的 交易 。 这 个 交易 同时 转移 汽车 的 所 有 权 和 竹 款 。 具 体 地 说 ， 这 
个 交易 规定 两 个 输入 : 爱丽 丝 的 所 有 权 和 鲍 艺 的 文 付款 ;规定 两 个 输 
出 : 归 鲍 动 的 所 有 权 和 归 爱 丽 丝 的 支付 款 。 这 个 交易 需要 双方 提供 输 
入 要 素 ， 因 此 要 求 双方 部 要 签名 。 如 末 只 有 一 方 签名 ， 交 易 束 无 效 。 
一 旦 一 方 签名 ， 交 易 的 细 市 就 无 法 改变 ， 除 非 这 个 签名 无 效 。 签 过 名 
的 交易 一 旦 对 整个 区 块 链 广播 ， 鲍 过 只 要 等 预 设 的 几 次 确认 (一 般 是 6 


次 )， 束 可 以 拥有 这 辆 车 。 鲍 动 文 付 给 爱丽 丝 的 款项 也 同时 被 确认 。 两 
个 确认 古 相 辅 相 成 ， 缺 一 不 可 的 。 


细心 的 读者 也 许 注 意 到 了 一 个 微妙 的 问题 。 鲍 动 可 以 收 到 爱丽 丝 
签名 的 交易 ， 目 己 也 签名 ,但 是 不 立即 对 外 广播 。 等 到 爱丽 丝 卖 东西 
的 价格 变 了 ， 印 动 才 把 旧 交 易 用 原来 的 价格 对 外 广播 。 所 以 为 了 避 和 钢 
这 种 问题 ， 比 较 复杂 的 不 可 分 割 的 交易 里 包括 截止 时 间 。 过 了 截止 时 
间 后 ， 爱 丽 丝 可 以 发 送 输入 她 控制 下 的 新 地 址 ， 用 来 表示 撤回 她 发 给 
鲍 靳 的 已 经 签 过 名 的 交易 。 


这 年 本 章 案例 之 一 。 我 们 将 会 在 本 章 看 到 ， 很 多 其 他 案例 使 用 区 
块 链 技术 促使 现实 中 的 各 种 交易 程序 去 中 心 化 ， 从 而 达到 不 同 种 类 的 
去 中 心 化 状态 。 其 中 ， 不 可 分 割 性 (atomicity) 是 绝 大 多 数 案例 共有 
的 特性 。 也 束 是 说 ， 交 易 每 一 方 的 交 制 都 是 联系 在 一 起 的 ， 所 以 它们 
都 同时 发 生 或 者 都 不 发 生 。 不 可 分 割 性 是 区 块 链 以 外 应 用 程序 领域 里 
重要 的 安全 概念 。 


11.2 通 往 区 块 链 融合 之 路 


因为 比特 币 的 区 块 链 是 专用 在 货币 上 的 ， 把 它 改 造 为 用 于 表示 其 
他 应 用 十 很 有 挑战 性 的 。 在 比特 币 世界 里 ， 你 会 发 现 有 许多 人 偏爱 把 
比特 币 或 者 别 的 区 块 链 作为 去 中 心 化 的 平台 。 在 本 市 ， 我 们 来 分 析 两 
种 方法 。 


方法 1: 直接 在 比特 币 基础 上 


区 块 链 融合 目 然而 然 的 出 发 点 是 比特 币 。 这 也 是 我 们 在 前 面 11.1 
斑 知 能 汽车 例 季 里 用 的 办 法 。 直 接 使 用 比特 币 的 好 处 驳 是 容易 实现 
一 一 代码 容易 运行 ， 比 特 币 网 络 有 很 强 的 控 太 能力， 共识 过 程 没 有 瑕 
狂 。 然 而 ， 我 们 必须 在 比特 币 上 做 些 修改 才能 用 于 我 们 的 例子 。 比 
如 ， 用 于 授权 比特 币 交 易 的 加 密 要 等 同 于 用 于 打开 车门 的 加 密 。 有 时 
候 对 比特 币 的 修改 是 不 可 能 的 ， 而 且 从 根本 上 说 ， 如 采 你 有 非常 复杂 
的 涉及 不 同方 的 合约 ， 用 比特 币 的 区 块 链 不 一 定 能 足够 胜任 或 者 不 可 
分 割地 执行 。 为 了 展示 用 比特 币 区 块 链 的 危险 性 ， 我 们 研究 一 下 如 何 
构建 一 些 中 性 的 非 中 介 化 的 应 用 程序 。 


首先 ， 我 们 来 研究 众 筹 服务 。 在 2015 年 ， 最 广泛 使 用 的 众 筹 网 站 
是 Kickstarter 它 通 过 一 个 中 心 化 的 网 站 ， 连 接 了 创业 者 和 资金 提供 
方 。 我 们 欣赏 Kickstarter 的 想法 ， 但 希望 通过 建造 一 个 完全 去 中 心 化 的 
蔡 代 系统 。 这 个 系统 需要 让 创业 者 能 要 求 投资 人 捐款 ， 但 是 在 收 到 一 
定 预先 设 定 数额 之 前 ， 创 业者 不 能 花 掉 任何 一 分 钱 。 所 有 的 这 些 都 是 
没有 中 介 的 。 


用 比特 币 的 技术 实现 这 样 的 众 筹 服务 ， 需 要 创业 者 创建 一 个 特定 
输入 的 交易 (输入 数 可 以 随 着 进程 而 改变 ) 和 一 个 支付 给 自己 的 输 
出 ， 比 如 支付 1 000 个 比特 币 (BTC) 。 这 个 交易 将 在 潜在 的 资助 者 中 
流传 。 任 何 资 助 者 都 可 以 把 资助 额 加 在 交易 的 输入 上 ， 并 且 数 子 化 签 
名 他 们 的 输入 和 总 输出 。 只 有 到 所 有 输入 等 于 或 者 大 于 输出 的 时 候 ， 
创业 者 才能 取得 这 笔 交 易 的 所 有 输入 ( 见 图 11.1) 。 因 为 签名 形式 有 
限 ， 我 们 要 用 到 比特 币 一 些 鲜 为 人 知 的 功能 ， 才 能 花 掉 最 后 的 交易 
额 。 虽 然 这 在 当今 的 比特 币 系统 能 做 到 ， 但 是 我 们 必须 负 研 到 比特 币 
里 很 少 人 知道 的 角落 。 这 并 不 是 一 个 日 币 见 到 的 标准 比特 币 奖 易 。 


图 11.1 通过 比特 币 众 筹 
注 : 由 不 同 资助 者 发 起 的 多 输入 的 单 笔 交 易 。 每 个 资助 者 签 下 他 们 的 输入 和 输出 。 只 有 在 累 
积 输入 数额 达到 或 者 超过 和 输出， 该 交易 才 有 效 。 


另 一 个 案例 : 支付 证 明 费 用 (paying for a proof) 。 这 个 案例 初 
看 起 来 好 像 奇 尾 ， 但 是 它 有 很 重要 的 应 用 。 为 了 表示 清楚 ， 我 们 假设 
有 个 哈 希 函数 H 和 一 个 大 家 都 知道 的 数字 y y 是 H 输 入 x 后 产生 的 输出 。 
爱丽 丝 知道 这 个 x 的 数值 ， 鲍 芝 为 了 知道 这 个 x 值 ， 愿 意 文 付 给 爱丽 


给。 广义 上 讲 ，H 可 以 是 任何 计算 程序 ， 鲍 动 希望 知道 他 感 兴趣 的 能 
够 产生 特定 结果 的 输入 值 。 这 个 问题 的 进一步 演变 是 ， 鲍 动 也 许愿 总 
文 付 一 定 的 费用 ， 让 这 个 输入 值 公 开 在 区 块 链 上 。 


为 了 安全 地 实现 这 笔 交 易 ， 我 们 必须 确认 交易 的 不 可 分 割 性 。 爱 
丽 丝 只 有 提交 正确 的 输入 才能 收 到 钱 。 而 鲍 靳 一 收 到 输入 必须 承担 文 
付 责任 。 记 得 我 们 在 第 10 章 的 不 可 分 割 的 交叉 链 互 换 协议 中 ， 展 示 了 
如 何 绑 定 文 付 和 呈现 哈 布 男 数 输入 值 。 类 似 的 方法 可 以 用 在 这 里 。 


这 些 例子 显示 了 直接 使 用 比特 币 区 块 链 的 重要 局 限 性 。 在 每 个 例 
子 中 ， 我 们 必须 把 复杂 的 真实 世界 交易 编译 成 比特 币 的 概念 。 这 不 一 
定 总 能 实现 。 在 智能 汽车 的 例子 里 ， 我 们 假设 该 车 用 ECDSA 签 名 技术 
来 验证 汽车 的 主人 。 这 驶 允许 我 们 使 用 区 块 链 和 遥控 硕 相 同 的 公私 密 
钥 来 开锁 并 发 动 汽车 。 在 众 筹 例子 中 ， 创 业者 只 能 拿 到 他 们 要 求 的 数 
人 额 ， 不 能 多 也 不 能 少 。 如 果 资 助 的 金额 大 于 需求 的 ， 多 出 的 部 分 殊 成 
为 交易 费用 。 最 后 ， 在 文 付 证明 费 用 的 例子 里 ， 如 末了 画 数 H 不 是 比特 
币 语 言 所 文 持 的 哈 希 函数 ， 那 么 连接 支付 和 公开 数字 这 种 模式 束 很 困 
难 。 


如 条 你 不 能 ， 或 者 不 想 把 应 用 程序 强行 套 入 比特 币 的 交易 体系 ， 
那么 可 以 选择 使 用 附着 币 ， 我 们 在 第 9 章 讨论 过 附着 币 。 这 样 比 特 币 惑 
成 为 数据 存储 ， 因 此 比特 币 的 脚本 语言 如 何 表达 就 与 之 无 天 。 这 种 用 
附着 币 的 方式 ， 不 仅 可 以 构建 很 多 其 他 应 用 ， 还 可 以 使 应 用 透明 化 。 
重新 回 到 卖 车 的 例子 ， 如 果 区 块 链 中 对 象 的 颜色 是 公开 的 《比如 以 有 
颜色 的 货币 来 表示 ) ， 任 何人 都 可 以 通过 检查 区 块 链 得 知 汽车 在 何 时 
购买 ， 以 什么 价格 ， 而 不 用 知道 买卖 双方 的 真实 身份 。 这 种 方式 在 茶 
种 情况 下 很 有 用 。 在 对 它 不 利 的 时 候 ， 颜 色 的 对 象 可 以 不 对 外 公开 。 


然而 ， 这 种 附着 币 有 重大 缺陷 。 附 着 币 的 用 户 无 法 依靠 比特 币 的 
矿工 来 验证 交易 (因为 矿工 无 法 了 解 附着 币 的 交易 语言 含义 ) 。 这 意 
味 着 所 有 附着 币 的 用 户 必 须 以 全 网 市 点 的 方式 运行 。SPV 也 不 可 能 。 


只 要 在 构建 的 时 候 存在 使 得 共识 无 法 达成 的 漏洞 ， 附 着 币 束 会 变 得 很 
不 稳定 。 如 有 果 两 个 附着 币 对 一 个 交易 的 有 效 性 持 不 同意 见 ， 会 导致 这 
个 货币 形成 两 个 分 又 货币 。 这 会 导致 灾难 性 的 后 果 。 相 反 ， 如 有 果 由 矿 
工 来 验证 交易 ， 这 种 不 同意 见 的 情况 融会 很 少 发 生 。 如 采 这 种 情况 真 
的 发 生 了 ， 那 么 它 很 快 束 会 引起 注意 并 且 很 可 能 解决 ， 而 不 会 寻 致 货 
jia 


从 男 一 方面 考虑 ， 无 论 我 们 是否 用 附着 币 ， 用 比特 币 的 初始 范畴 
外 的 交易 会 加 重 或 者 “污染 ?比特 币 的 区 块 链 。 在 比特 币 世界 ， 这 个 问 
题 双方 争执 不 下 。 我 们 不 选 边 站 ， 但 是 我 们 要 指出 有 一 个 解决 的 办 
法 : 殊 像 我 们 在 9.1 节 看 到 的 ， 仪 仅 把 比特 币 当 成 时 间 礁 服务 ， 而 不 是 
当成 数据 存储 。 目 前 有 刚刚 起 步 的 服务 ， 提 供 另 外 的 区 块 链 或 者 数据 
存储 服务 。 其 中 有 一 个 服务 是 通过 比特 币 区 块 链 做 时 间 惟 服务 。 这 就 
像 第 9 章 讨论 过 的 时 间 玲 服务 ， 但 是 多 了 每 10 分 钟 一 次 哈 硕 计算 ， 而 不 
是 每 周一 次 在 新 闻 报 纸 上 。 用 比特 币 当时 间 礁 只 要 每 区 块 (或 者 每 次 
服务 或 者 协议 ) 一 次 交易 。 不 完美 的 地 方 就 是 ， 很 难 找 到 像 比特 币 区 
块 链 这 样 容易 获得 并 且 广 泛 复制 留存 的 外 部 数据 存储 。 同 时 ， 一 般 的 
非 比 特 币 数 据 存 储 更 加 中 心 化 。 

总 的 来 说 ， 不 管 是 否 使 用 内 克 技 术 ， 比 特 币 的 区 块 链 诞 生 了 许多 


创新 的 应 用 。 这 些 通过 比特 币 区 块 链 产生 的 应 用 ， 受 到 用 户 和 矿工 的 
广泛 接受 。 因 此 ， 使 用 比特 币 区 块 链 是 一 个 安全 且 容 易 实 现 的 选择 。 


方法 2: 为 类 区 块 链 


去 中 心 化 的 男 一 个 方法 是 使 用 男 类 区 块 链 ， 也 有 几 个 选择 方案 。 
最 明显 的 方法 就 古 ， 使 用 一 个 全 新 的 区 块 链 ， 有 目 己 的 规则 、 功 能 和 
货币 〈 也 就 是 另类 币 ) 。 男 一 个 方案 是 ， 使 用 我 们 在 第 10 间 学 过 的 侧 
链 。 这 个 方案 的 主要 不 同 在 于 侧 链 的 货币 是 11 的 比例 方式 与 比特 币 挂 


钩 。 有 高 级 脚本 语言 的 侧 链 可 以 满足 复杂 合约 的 了 要求， 也 能 做 到 去 中 
介 化 。 但 是 ， 侧 链 需要 对 比特 币 进行 修改 ， 这 些 修改 目前 到 2015 年 还 
没有 进展 。 


第 三 个 选择 是 用 已 经 存在 的 另类 区 块 链 ， 这 个 区 块 链 能 够 文 持 新 
的 应 用 程序 。 和 截至 2015 年 ， 我 们 在 第 10 章 讨论 过 的 以 太 坊 体系 ， 和 是 了 最 
有 潜力 的 去 中 心 化 加 黎 货 币 应 用 程序 平台 。 从 概念 上 看 ， 以 太 坊 是 去 
中 心 化 的 复杂 合约 的 理想 平台 。 当 然 ， 以 太 坊 也 面临 实际 的 挑战 : 至 
少 到 2015 年 ， 它 还 没有 达到 比特 币 同等 水 平 的 成 熟 度 、 接 受 度 和 挖 矿 
计算 力 ， 也 没有 接受 相应 水 平 的 安全 性 考验 。 无 论 如 何 ， 这 是 一 个 令 
人 着 迷 的 去 中 心 化 复杂 合约 的 精美 实验 。 未 来， 以 太 坊 体系 或 者 其 他 
体系 有 可 能 逢 勃发 展 。 


11.3 去 中 心 化 的 模板 


我 们 研究 了 几 种 通过 区 块 链 达 到 去 中 心 化 的 方式 。 接 下 来 ， 我 们 
将 会 建立 一 套 去 中 心 化 应 该 考虑 的 问题 的 模板 ， 问 题 包 括 去 中 心 化 的 
对 象 、 用 什么 区 块 链 合适 、 实 体 和 安全 性 在 去 中 心 化 下 的 重新 定义 。 


去 中 心 化 的 程度 
通过 去 中 介 而 去 中 心 化 


再 回想 一 下 我 们 前 文 提 到 的 智能 汽车 ， 为 了 帮助 理解 ， 我 们 问 一 
个 问题 ， 数 字 拥 有 权 的 转移 到 放 蔡 代 了 现实 生活 中 的 什么 步 又 ? 


美国 汽车 的 产权 ， 是 由 拥有 产权 证 书 来 确定 的 。 这 是 产权 的 中 心 
化 形式 。 产 权证 书 只 有 机 动车 管理 部 门 《Department of Motor 
Vehicles， 简 称 DMV) 能 识别 和 实际 使 用 。 当 出 售 汽车 的 时 候 ， 卖 方 交 
接 产 权证 书 给 买方 ， 仅 仅 这 样 做 是 不 够 的 。 这 样 的 产权 转移 ， 必 须 在 
DMV 注 册 ，DMV 在 其 中 央 数 据 库 进 行 更 新 。 通 过 区 块 链 来 转移 产权 ， 
我 们 从 国家 掌控 的 集中 程序 转变 成 不 需要 任何 中 介 。 这 束 是 通过 去 中 
介 来 实现 去 中 心 化 。 


争议 的 调解 : 通过 竞争 去 中 心 化 

假设 买卖 双方 对 汽车 交易 有 争议。 也许 卖 家 出 售 了 一 辆 以 次 充 好 
的 汽车 ， 买 家 很 生气 要 退货 。 在 第 3 章 ， 我 们 讨论 过 3 选 2 的 多 方 签名 交 
易 。 如 果 除 了 买卖 双方 以 外 还 有 第 三 方 比如 法 官 或 者 调停 者 ， 这 个 交 
易 台 可 以 文 持 托管 。 这 种 情况 下 ， 买 方 不 需要 直接 把 钱 转 给 卖方 ， 而 


是 转 到 一 个 由 买卖 双方 和 调停 者 组 成 的 3 选 2 控制 的 地 址 。 调 停 者 在 另 
外 一 方 的 帮助 下 可 以 批准 支付 或 者 退 款 ,但 是 不 能 偷 走 这 笔 钱 。 


这 是 一 个 很 好 的 争端 解决 机 制 的 开端 ， 但 仍 有 很 多 细节 需要 考 
虑 。 盲 匈 ， 我 们 习 失 了 以 前 依赖 的 汽车 交易 的 不 可 分 割 性 。 其 次 ， 我 
们 不 清楚 汽车 的 拥有 权 是 否 可 以 随 着 退 款 而 恢复 原来 的 状态 。 最 后 ， 
如 果 汽 车 的 所 有 权 转 到 3 选 2 的 地 址 ， 那 么 遥控 钥匙 要 给 谁 开 车 的 权 
利 ? 我 们 讨论 这 些 的 目的 不 是 找 出 解决 这 些 问题 的 办 法 ， 而 是 用 这 个 
例子 来 仔细 思考 调停 者 的 作用 。 具 体 而 言 ， 我 们 要 比较 这 种 调停 模式 
和 传统 调停 模式 的 区 别 。 


现实 世界 里 的 调停 争议 如 何 发 生 ? 这 需要 借助 司法 体系 ， 一 个 中 
心 化 的 、 国 家 控制 的 ， 最 好 需要 聘请 律师 的 调停 系统 。 相 反 ， 在 数字 
合约 下 ， 参 与 者 自由 选择 他 们 想 要 的 调停 者 。 一 个 调停 的 私人 市 场 将 
会 蓬勃 发 展 。 在 这 个 市 场 里 ， 不 需要 按 现 有 的 法 律 规 定 ， 各 种 潜在 的 
中 介 可 以 根据 公平 、 效 率 和 成 本 相互 芝 争 。 这 中 间 有 几 个 挑战 性 的 问 
题 : 第 一 个 是 激励 机 制 ， 调 停 者 也 许 会 被 交易 的 一 方 贿赂 ; 第 二 个 是 
资金 在 有 和 争议 期 间 是 被 锁 住 的 ， 第 三 ， 当 内 部 调停 机 制 失效 后 ， 因 为 
交易 双方 都 是 匿名 的 ， 所 以 很 难 最 后 上 法 庭 解决 ， 即 使 双方 可 以 被 识 
别 ， 数 字 合 约 当前 也 不 被 法 寿 认 可 。 


我 们 的 观点 是 ， 这 不 是 通过 去 中 介 而 产生 去 中 心 化 一 一 我 们 没有 
完全 摊 脱 中 介 ， 而 是 让 参与 着 选择 他 们 信任 的 人 。 也 就 古 说 ， 通 过 苋 
争 去 中 心 化 。 在 介 于 单一 规定 的 中 介 和 完全 不 需要 中 介 的 完全 去 中 介 
之 间 ， 还 有 很 大 的 空间 和 可 能 。 残 像 我 们 看 到 的 ， 在 这 两 种 极端 之 
上 间 ， 可 以 存在 一 种 情况 ， 即 有 很 多 中 介 相 互 范 争 。 事 实 上 ， 我 们 在 第 9 
章 讨论 去 中 心 化 的 未 来 预测 市 场 也 是 这 种 情况 。 不 像 InTrade [] 一 个 公 
司 占领 整个 市 场 ， 参 与 者 可 以 从 竞争 的 仲裁 人 中 任意 选择 他 们 相信 的 
人 来 进行 关键 的 市 场 操作 。 


能 达到 什么 样 的 安全 程度 


我 们 从 这 个 案例 观察 到 另外 一 个 问题 。 诊 断 解决 过 程 的 安全 性 不 
需要 依靠 不 可 分 割 性 。 相 反 ， 它 依靠 对 调停 者 的 信任 。 调 停 者 如 何 变 
得 可 信 ? 有 很 多 种 办 法 ， 最 直接 的 就 是 通过 信誉 。 与 不 可 分 割 性 通过 
技术 维持 安全 性 不 同 ， 信 誉 是 建立 在 长 时 间 的 社会 内 部 机 制 相互 作用 
的 基础 上 的 。 


信任 


有 人 在 比特 币 世 界 里 把 “信任 最 小 化 ”或 者 “没有 信任 ”作为 目 
标 。 这 听 起 来 像 是 退步 。 难 道 我 们 不 是 希望 建立 一 个 值得 信任 的 可 
以 运作 的 体系 ? 

信任 这 个 词 有 不 同 的 解释 ， 因 而 会 引起 不 同 的 误解 。 当 爱丽 丝 
借 给 鲍 勃 10 美 元 并 说 信任 他 ， 爱 丽 丝 的 意思 是 她 觉得 鲍 勃 是 个 信 得 
过 的 人 ， 她 坚信 和 鲍 勃 会 还 钱 。 在 安全 术语 里 ， 一 个 可 信任 的 组 成 部 
分 意味 着 你 不 得 不 依靠 的 对 象 。 当 人 们 用 可 信任 来 描述 认证 机 构 的 
时 候 ， 他 们 觉得 如 果 这 些 机 构 都 不 可 信 了 ， 网 络 安全 束 襄 无 保障 
Ta 


在 其 他 条 件 都 不 变 的 情形 下 ， 信 任 最 小 化 是 一 个 值得 退 求 的 目 
标 。 我 们 希望 能 打造 一 个 安全 的 系统 ， 这 个 系统 能 够 尽量 减少 我 们 
个 得 不依 靠 的 组 成 部 分 。 但 是 当 你 手 里 有 把 铁 锤 ， 任 何事 情 看 起 来 
都 像 可 以 用 铁 锤 来 解决 的 钉子 。 比 特 币 的 支持 者 经 常 过 度 追 求 去 除 
体系 中 的 可 信任 部 分 。 一 个 可 信 的 组 成 部 分 不 总 是 坏事 。 现 实 世界 
里 存在 的 信任 关系 本 身 也 没有 问题 。 去 除 可 信任 的 部 分 ， 可 能 带 来 
其 他 隐藏 的 问题 。 


我 们 在 本 章 最 后 的 11.4 市 会 详细 阐述 这 一 点 。 至 少 到 目前 为 
止 ， 我 们 意识 到 信任 这 个 词 的 复杂 含义 ， 我 们 避免 信任 这 个 词 ， 而 
征用 安全 这 个 比较 明确 的 词 来 表示 。 


在 技术 解决 不 了 的 地 方 ， 或 者 作为 扩 术 解决 方案 的 补充 ， 信 誉 起 
了 一 定 的 作用 。 然 而， 信誉 也 有 一 些 问 题 。 信 誉 征 要 和 真实 吴 份 联系 
在 一 起 的 。 如 果真 实 身 份 不 确定 或 不 明明 ， 信 誉 束 无 法 发 挥 作 用 。 比 
如 ， 一 家 餐馆 收 到 网 络 差 评 后 决定 关 了 该 餐馆， 摆脱 坏 信 誉 ， 然 后 以 
原 班 人 马 重 开 一 家 新 的 和 餐馆。 在 匿名 的 世界 ， 信 誉 无 法 发 挥 作用 。 在 
半 匿 名 环境 下 ， 真 实 身 份 很 容易 改变 ， 以 信誉 为 基础 的 系统 会 面临 很 
大 的 挑战 。 信 誉 体系 也 要 设法 去 验证 对 别人 声誉 有 影响 的 众多 评价 。 
在 传统 的 像 Yelp [5] 的 系统 中 ， 商 户 用 真名 ， 用 户 某 种 程度 上 也 用 真 
和 名。 然而 在 半 匿 名 环境 ， 很 难 精 确 地 区 分 是 假 的 指控 还 是 真 的 事实 。 


我 们 不 再 深入 讨论 其 他 的 安全 机 制 ， 比 如 安全 硬件 设备 等 。 不 管 
征用 什么 安全 机 制 ， 最 后 都 会 面临 一 个 大 的 挑战 ， 即 没有 现实 生活 中 
的 执法 机 构 。 因 为 没有 用 真实 身份 ， 这 些 机 制 里 都 没有 对 错误 行为 的 
怎 玉 ， 争 议 也 无 法 在 法 庭 上 解决 。 借 钱 变 得 不 可 能 ， 因 为 没有 执法 机 
构 保 证 借款 人 会 还 钱 ， 因 此 交易 经 党 需 要 先 预存 款 ， 这 些 预存 款 在 争 
议 期 间 会 被 锁 住 。 


框架 

总 结 一 下 本 章 至 今 讨论 的 内 容 ， 我 们 可 以 通过 提 4 个 问题 ， 来 对 任 
何 去 中 心 化 的 方案 进行 分 析 ; 

1. 去 中 心 化 的 对 象 是 什么 ? 

2 .去 中 心 化 的 程度 如 何 ? 


3. 用 什么 样 的 区 块 链 ? 
4. 采 用 什么 样 的 安全 措施 ? 


只 要 回答 了 以 上 4 个 问题 ， 我 们 就 基本 上 能 精确 地 了 解 大 多 数 在 比 
特 币 世界 里 见 过 的 基于 区 块 链 的 去 中 心 化 方案 。 让 我 考虑 以 下 几 个 例 
子 ( 见 表 11.1) : 


智能 资产 


我 们 讨论 过 的 智能 资产 ， 去 中 心 化 的 是 资产 的 所 有 权 和 资产 的 转 
移 。 它 达到 了 完全 去 中 介 化 一 一 完全 不 需要 DMV 和 国家 这 样 的 实体 。 
我 们 谈 过 它 如 何 使 用 比特 币 的 区 块 链 来 达到 目的 。 当 然 你 也 可 以 用 另 
类 区 块 链 。 最 后 ， 安 全 性 是 通过 不 可 分 割 方式 ， 即 把 文 付 与 汽车 所 有 
权 的 转移 不 可 分 割地 融合 在 一 起 。 


表 11.1 区 块 链 去 中 心 化 的 方案 特征 


方案 
特征 去 中 心 化 的 
能 资 \ = 
智能 资产 a 存储 J 零 币 
1 去 中 心 化 的 对 象 ” 资产 所 有 权 文件 的 存储 。 
而 测 | 让 二 混合 币 种 
是 什么 ? 和 转移 预测 市 场 和 调用 混合 币 科 
2. 去 中 心 化 的 程度 
和 9 放 。 二 中 介 化 。 竞争 和 去 中 介 竞争 去 中 介 
如 何 ? 
么 样 的 区 
用 什 人 可 的 区 此 等 币 另类 币 比特 币 另类 币 
块 链 ? 
4. 采用 什么 样 的 安 
ti ae 不 可 分 制 。 声誉， 不 可 分 宙 声 着 不 可 分 家 


去 中 心 化 的 预测 市 场 


在 一 个 中 心 化 的 预测 市 场 ， 中 心平 台 或 者 交易 所 提供 两 种 重要 的 
服务 ,裁决 并 公布 任何 赌注 的 事件 ， 并 向 参与 者 出 售 股 权 (或 者 帮助 
参与 者 安全 地 彼此 交易 ) 。 我 们 在 第 9 革 看 到 ， 去 中 心 化 的 预测 市 场 不 
需要 一 个 中 央 权 力 机 构 来 提供 这 些 功能 。 它 让 每 个 人 都 可 以 为 一 个 时 
间 设 置 一 个 市 场 ， 并 通过 发 送 一 个 简单 交易 ， 成 为 对 应 市 场 的 仲裁 
者 ， 这 样 降低 了 执行 这 些 操作 的 准 入 门框 。 因 此 ， 中 介 还 是 存在 的 ， 
但 用 户 可 以 自由 选择 很 多 相互 竞争 的 中 介 。 如 果 用 户 还 不 满意 ， 他 们 
目 己 可 以 来 执行 这 些 操 作 。 男 一 方面 ， 用 户 可 以 直接 目 动 地 和 其 他 用 
尸 交 易 股票 ， 所 以 中 央 和 集权 这 方面 的 功能 被 去 中 介 化 了 。 去 中 心 化 的 
预测 市 场 要 求 比特 币 没有 的 新 功能 ， 所 以 最 好 通过 一 个 定制 的 另类 币 
的 区 块 链 来 实现 。 


存储 J 


存储 J(StroJ) 是 格雷 戈 . 麦 斯 威 尔 (Greg Maxwell) 提出 的 ， 用 于 文 
件 存储 和 调用 。 它 已 经 有 好 多 更 新 版 本 ,但 我 们 只 讨论 简单 版 本 。 大 
体 上 看 ， 存 储 J 设 置 了 一 个 存在 云端 的 “代理 *”， 它 被 设计 过 ， 能 利己 做 
出 一 些 特定 决定 。 比 如 ， 为 了 有 计算 资源 ， 它 可 以 租用 云端 算 力 和 存 
储 空间 。 男 一 个 提供 给 用 户 的 功能 是 让 客户 将 文件 存放 一 段 时 间 ， 比 
如 24 小 时 ， 需 要 用 比特 币 付 费 。 只 要 收 到 比特 币 支 付 ， 它 就 会 一 直 保 
存 客户 文件 。 除 了 人 简单 的 存储 ， 它 还 能 做 一 些 其 他 有 趣 的 事情 。 我 们 
不 做 深入 展开 。 在 我 们 的 框架 里 ， 存 储 ] 实 现 了 文件 存 取 的 去 中 心 化 ， 
这 也 是 像 Dropbox [3 一样 中 心 化 服务 的 核心 功能 。 代 理 其 实 就 是 中 
介 。 对 我 们 来 说 ， 目 动 化 与 否 其 实 并 没有 区 别 。 然 而 ， 中 介 之 间 存 在 
竞争 。 文 付 是 通过 比特 币 。 代 理 提 供 服务 和 收 到 文 付 并 没有 不 可 分 割 
的 连接 ， 所 以 安全 是 通过 代理 的 声誉 来 实现 的 。 


零 币 


我 们 在 第 6 章 讨 论 过 零 币 ， 一 个 有 效 的 、 去 中 心 化 达到 混合 币 种 从 
而 保持 匿名 服务 的 方法 。 零 币 不 是 采用 中 心 化 的 混合 服务 ， 而 是 采用 


加 和 冤 协 议 实现 了 用 混合 币 种 的 功能 ， 只 是 靠 数 学 和 共识 而 不 靠 中 介 。 
堆 币 和 它 的 后 来 者 重度 使 用 加 密 机 制 ， 因 此 比较 适合 使 用 特别 的 区 块 
链 。 在 安全 措施 上 ， 我 们 曾 提 到 需要 销毁 一 个 基础 币 (Basecoin) 从 而 
作为 交换 获取 一 个 堆 币 ， 这 两 个 操作 密 不 可 分 。 赎 回 零 币 也 是 如 此 ， 

这 瓯 是 典型 的 不 可 分 割 性 。 


跨 一 个 在 线 电子 交易 平台 ， 对 应 的 在 线 赌博 模式 被 称 为 “未 来 事件 交易 ”。 网 站 用 户 可 以 
对 所 有 与 体育 竞赛 没有 关系 的 “大 事件 "下 注 ， 包 括 政治 事件 、 经 济 形势 、 娱 乐 新 闻 、 交 通 运 
输 、 法 律 现状 、 流 行 音乐 甚至 是 天 气 情况 。_ 译 者 注 
[2] Yelp 类 似 于 国内 的 大 众 点 评 。 一 — 译 者 注 
[3] 一 款 非 常 好 用 的 免费 网 络 文件 同步 工具 ， 是 Dropbox 公 司 运 行 的 在 线 存储 服务 ， 有 人 说 
是 世界 上 最 伟大 的 云 存储 服务 之 一 。 通 过 云 计算 实现 互联 网 上 的 文件 同步 ， 用 户 可 以 存储 并 共 
享 文件 和 文件 来 。__ 译 者 注 


11.4 什么 时 候 适 合 去 中 心 化 


我 们 一 直 在 关注 技术 上 如 何 实现 去 中 心 化 。 现 在 ， 我 们 要 深入 研 
完 去 中 心 化 的 动机 。 这 些 问 题 跟 技 术 无 天， 却 同 样 难以 回答 : 去 中 心 
化 一 定 是 有 益 的 吗 ? 经 济 上 合适 吗 ? 去 中 心 化 的 社会 影响 是 什么 ? 


我 们 至 今 只 是 把 “去 中 心 化 ?当成 一 个 技术 概念 ， 却 从 来 没有 明确 
提出 去 中 心 化 是 和 政治 紧密 相关 。 当 我 们 讨论 用 技术 的 创新 手段 蔡 代 
或 者 部 分 替代 传统 体系 ， 我 们 实际 上 是 在 讨论 如 何在 旧 有 的 法 律 、 社 
会 和 金融 机 构 中 重新 分 配 权力 。 去 中 心 化 的 理想 来 目 比特 币 的 起 源 : 密 
码 朋 克 运 动 一 一 一 群 不 王 守 成 规 的 人 发 起 的 旨 在 通过 加 密 扩 术 实 现 个 
体 自 治 的 运动 《参阅 前 言 和 第 7 章 相 关内 容 ) 。 有 了 区 块 链 ， 他 们 的 理 
想 相 对 以 前 更 近 了 “。 但 是 他 们 的 理想 可 行 吗 ? 受 欢迎 吗 ? 


回 到 我 们 的 汽车 销售 案例 ， 传 统 机 构 会 试图 帮助 汽车 所 有 者 解决 
两 个 问题 ， 第 一 个 是 强化 所 有 权 ， 也 区 ® 是 说 ， 防 止 偷 鳃 ， 第 二 个 是 确 
保 交 易 安全 进行 ,或 者 说 防止 在 交易 中 被 欺骗。 所 以 当 我 们 比较 智能 
资产 和 现 有 体系 时 ， 我 们 不 能 仪 仅 比 较 一 切 顺利 的 时 候 谁 效 率 高 ， 最 
重要 的 是 我 们 要 看 事情 不 顺利 的 时 候 ， 最 坏 能 坏 到 什么 程度 。 


现实 生活 中 的 安全 性 挑战 


防止 任何 形式 的 偷盗 一 一 比如 汽车 、 亏 术 品 、 现 金 等 一 一 都 是 预 
防 、 发 现 和 纠正 错误 。 预 防 性 安全 机 制 在 于 阻止 偷盗 的 发 生 ， 发 现 性 
安全 机 制 在 于 发 现 盗 镭 便于 将 来 采取 纠正 错误 的 措施 ， 纠 正 错 误 束 十 
索 回 盗窃 的 损失 并 怎 如 盗窃 者 〈 惩 加 也 可 以 看 成 是 预防 盗窃 发 生 的 方 


式 之 一 ) 。 和 车 锁 和 报警 器 是 预防 性 安全 措施 ，GPS 跟 踩 器 (比如 LojJack) 
用 于 帮助 发 现 盗 留 并 有 助 于 执法 者 找到 被 偷 的 车 。 其 中 的 关键 在 于 ， 
咀 止 偷 车 涉及 警察 、 保 险 、 法 性 等 ， 车 锁 只 足 阻 止 偷 车 犯罪 的 一 个 小 
因素 。 如 果 你 生活 在 没有 法 律 保护 的 环境 里 ， 单 纯 的 车 锁 并 不 能 阻止 
盗 贸 的 发 生 。 这 种 情况 下 ， 贫 在 路 边 的 车 很 快 瑟 会 补 偷 走 。 


智能 资产 的 模式 极 大 地 依靠 预防 措施 。 只 有 把 所 有 权 等 同 于 使 用 
权 ， 我 们 才能 实现 去 中 心 化 。 即 拥有 这 辆 车 所 有 权 束 表示 ， 你 知道 某 
块 区 块 链 上 的 私人 密 钥 。 但 征 这 种 控制 原理 无 法 取代 我 们 现在 拼图 式 
的 机 构 合作 。 


假 志 我 们 仅 用 保密 的 私人 冤 钥 来 表示 拥有 权 ， 那 么 数字 加 密 就 变 
得 很 重要 。 但 是 因为 人 类 征 所 有 因素 里 最 容易 被 突破 的 ， 数 字 加 密 的 
保密 性 束 会 变 得 很 困难 。 加 密 系统 的 设计 者 几 十 年 来 一 直 在 努力 让 非 
技术 用 户 使 用 并 管理 私人 密 钥 以 防止 偷盗 或 者 丢失 钥 是 ， 但 是 过 无 进 
展 。 如 采 去 中 心 化 只 依靠 私密 钥 古 ， 非 法 软件 或 者 钓鱼 攻击 束 能 丛 走 
车 。 或 者 走 记 密 钥 束 能 导致 你 的 车 变 成 一 堆 废 铁 。 当 然 ， 以 上 问题 都 
可 以 有 其 他 的 解决 方式 ， 最 后 这 些 解 决 方式 让 我 们 回 到 中 介 和 中 心 化 
系统 ， 俩 离 了 我 们 为 之 在 斗 的 去 中 心 化 的 主旨 。 


只 要 涉及 人 ， 资 产 转移 束 会 存在 争议 如 何 解决 的 问题 。 争 议 在 于 
交易 条 件 或 者 交易 的 任何 一 个 方面 。 在 现实 世界 ， 如 采 交 易 双 方 无 法 
达成 一 致 ， 就 会 把 争议 提交 到 法 寿 ， 法 官 会 按照 固定 的 程序 验证 每 一 
条 证 据 、 供 词 和 书面 文件 ， 最 后 法 官 会 做 出 关于 这 个 买卖 有 效 性 的 判 
决 。 很 多 人 ， 特 别 是 技术 方面 的 人 ， 倾 同 于 把 法 律 看 成 是 一 套 由 逻辑 
化 的 规则 与 算法 组 成 的 体系 ， 该 体系 必定 能 够 得 到 一 个 明确 的 裁决 。 
然而 ， 现 实 中 的 法 律 体系 不 但 有 元 长 的 法 律 和 条 约 ， 还 有 人 们 对 法 律 
法 规 的 理解 和 判断。 这 些 离 有 明确 逻辑 的 法 规 的 观念 融 更 加 遥远 了 。 
这 种 特征 并 不 是 弱点 。 因 为 这 样 才 可 能 允许 我 们 去 解决 当初 制定 法 律 
的 人 所 没有 想到 的 更 加 复杂 的 案例 。 


回 到 去 中 心 化 模式 的 安全 问题 ， 我 们 想 要 的 安全 属性 和 去 中 心 化 
模式 提供 的 安全 模式 钙 有 差别 的 。 就 以 之 前 提 到 的 去 中 心 化 众 筹 为 案 
例 ， 我 们 知道 众 筹 可 以 技术 上 设置 成 让 创业 者 直到 资助 款 达 到 一 定数 
额 才 可 以 取出 。 然 而 ， 这 并 不 能 阻止 已 经 成 功 敌 集 到 钱 的 创业 者 携 蒜 
次 逃 。 事 实 上 ， 即 使 在 现在 中 心 化 模式 下 ， 众 筹 网 站 也 有 一 些 驴 局 ， 
最 终 被 告 上 法 姓 。 在 去 中 心 化 模式 下 ， 创 业者 有 可 能 会 匿名 ， 没 有 说 
法 律 诉讼 的 威胁 ， 这 种 情况 下 骗局 一 定 更 多 。 很 难 想象 技术 能 够 解决 
这 个 难题 。 这 是 另 一 个 案例 ， 显 示 了 技术 只 能 解决 一 小 部 分 问题 。 坦 
日 地 说 ， 技 术 能 解决 的 只 是 问题 中 无 趣 的 那 部 分 。 

小 结 一 下 ， 智 能 资产 的 问题 是 社会 性 的 ， 都 是 当 事 情 不 太 对 劲 时 
引起 的 纠纷 。 在 所 有 参与 方 都 满意 的 前 担 下 ， 技 术 可 以 保证 交易 的 高 
效 性 。 但 和 是， 技术 无 法 解决 这 些 环 手 的 纠纷 。 


智能 质 产 的 优 缺点 


正如 我 们 讨论 的 ， 在 一 些 传统 上 需要 人 们 介入 的 方面 ， 智 能 资产 
不 容易 去 中 心 化 。 事 实 上 ， 目 动 化 可 能 让 去 中 心 化 更 加 困难 ， 因 为 调 
停 和 其 他 进程 都 是 在 事件 发 生 后 才 出 现 ， 目 动 化 很 难 协调 好 这 种 事后 
出 现 的 不 正常 的 事件 。 最 后 ， 智 能 等 产 产 权 会 产生 者 的 问题 ， 比 如 在 
汽车 的 例子 中 ， 会 要 求 软件 和 硬件 都 安全 。 


在 某 种 程度 上 ， 我 们 讨论 过 的 例子 只 是 一 个 完整 智能 资产 协议 的 
缩 印 简化 版 。 比 特 币 世界 中 的 很 多 提案 部 是 更 为 周全 与 细致 入 微 的 。 
即便 如 此 ， 在 我 们 简单 的 案例 中 ， 我 们 还 是 可 以 分 辨 出 智能 资产 的 好 
处 和 坏处 。 


智能 资产 的 最 大 优点 ， 束 是 能 够 在 任何 时 候 、 任 何 地 点 进行 高 效 
的 所 有 权 转 让 。 对 于 像 智 能 手机 或 者 电脑 这 样 的 产品 ， 价 值 没 有 汽车 


那么 高 ， 如 果 有 争议 一 般 也 不 会 诉 诸 法 律 ， 所 以 使 用 智能 资产 没有 任 
何 坏 处 。 对 于 这 些 产品 ， 不 可 分 割 的 交易 是 一 种 有 用 的 安全 性 特性 。 


通过 区 块 链 的 智能 资产 也 可 以 提供 很 好 的 隐私 保护 甚至 匿名 服 
务 。 虽 然 我 们 说 隐私 你 护 会 让 解决 搜 议 变 得 复 洒 化 ， 但 对 于 一 个 消费 
者 信息 被 公 司 滥用 的 社会 ， 隐 私 保 护 还 是 很 有 意义 的 。 在 某 些 情况 
下 ， 不 需要 揭露 真实 身份 是 交易 方 最 看 重 的 因素 。 这 在 中 心 化 的 中 介 
模式 下 是 不 可 能 的 。 


最 后 ， 去 中 心 化 的 模式 允许 目 由 选择 调停 者 。 即 使 我 们 对 法 律 系 
统 很 满意 ， 大 多 数 和 争议 调停 是 由 像 维 萨 或 者 贝 宝 这 样 的 私人 公司 内 部 
音箱 操作 的 。 通 过 使 用 可 替代 的 模式 ， 让 调停 公开 竞争 ， 我 们 有 可 能 
让 这 个 过 程 更 加 透明 公开 并 接受 公众 的 监督 。 


加 密 、 国 家 和 大 机 会 


崛 起 的 现代 国家 和 我 们 在 本 章 讨论 的 技术 的 目的 有 惊人 的 相似 。 
在 从 氏族 部 落 和 小 群体 发 展 出 来 的 现代 社会 ， 政 府 一 直 致 力 于 精确 地 
解决 一 个 问题 : 让 阳 生 人 安心 地 开展 商务 和 其 他 交互 活动 。 政 府 和 我 
们 讨论 的 技术 ， 采 用 的 办 法 也 许 大 不 相同 ， 但 是 目标 是 一 致 的 。 


尽管 马 死 思 主 义 者 眼中 的 去 中 心 化 也 许 奉 扯 到 解散 国家 ， 但 解散 
国家 这 种 做 法 不 太 现 实 ， 尤 其 是 在 其 他 人 比如 民主 化 国家 的 人 民 也 硕 
望 去 中 心 化 时 。 然 而 ， 通 过 技术 去 中 心 化 并 不 一 定 会 和 国家 对 立 。 事 
实 上 ， 它 们 可 以 相辅相成 。 比 如 ,假设 交易 双方 都 是 经 过 验证 的 ， 智 
能 资产 的 交易 就 可 以 通过 区 块 链 技术 高 效 地 完成 ， 万 一 有 争议， 也 可 
以 付 诸 法 律 。 我 们 认为 ， 未 来 区 块 链 技 术 的 机 会 惑 在于， 以 和 政府 功 
能 互补 的 方式 建立 去 中 心 化 ， 而 不 是 试图 替代 政府 。 


只 要 技术 存在 就 可 以 去 中 心 化 ， 这 种 想法 很 吸引 人 。 但 是 在 实际 
操作 中 ， 我 们 需要 找到 经 济 上 令 人 信服 的 理由 ， 比 如 说 政府 的 监管 过 
于 繁杂 和 低 效 ， 或 者 权力 失衡 导致 的 权力 滥用 。 举 个 例子 ， 很 多 非洲 
国家 的 居民 已 经 用 “手机 分 钟 ”(cell phone minutes) 作为 实际 上 的 货 
币 ， 这 样 的 货币 脱离 了 政府 的 控制 ， 也 避免 了 相应 权力 的 滥用 。 


总 结 一 下 ， 我 们 在 本 章 朱 绘 了 去 中 心 化 的 技术 监 图 ， 也 批判 性 地 
探讨 了 去 中 心 化 的 动因 。 我 们 豆 励 大 家 寻找 去 中 心 化 更 有 说 服 力 的 案 
例 ， 特 别 是 把 现 有 法 律 和 监管 实践 融合 在 一 起 的 好 案例 。 


结束 语 


有 些 人 因为 其 研 层 技术 而 对 比特 币 感 兴趣 ， 男 外 一 些 人 对 它 的 商 
业 可 能 性 着 迷 ， 还 有 一 些 人 关心 它 的 社会 和 政治 影响 。 理 性 的 人 可 能 
不 同意 后 面 两 类 人 的 观点 。 但 是 我 们 希望 这 本 书 能 够 让 你 知道 ， 比 特 
币 在 技术 上 是 有 深度 的 、 创 新 的 、 有 趣 的 ， 而 且 是 建立 在 正确 理论 上 
的 。 我 们 才刚 刚 开 始 开拓 比特 币 之 外 令 人 炫目 的 改 类 加 密 货币 ， 其 中 
的 某 些 加 密 货 币 也 许 有 一 天 甚至 超越 比特 币 。 


我 们 选择 深入 人 研究 比特 币 ， 古 因为 我 们 坚信 技术 的 力量 。 我 们 坚 
信 比 特 币 和 其 他 计算 机 科学 有 很 深 的 联系 。 我 们 重点 突出 了 有 潜力 的 
新 技术 古 如 何 试图 取代 已 有 组 织 机 构 的 。 我 们 相信 ， 人 类 还 会 继续 找 
到 加 密 货 币 技 术 在 新 的 商业 和 社会 领域 里 的 有 益 应 用 。 即 使 你 的 兴趣 
主要 在 于 它 的 商业 化 ， 你 也 能 从 了 解 掌握 它 的 抵 层 技术 中 获 益 。 而 了 
解 它 的 能 量 和 限制 ， 有 助 于 你 在 市 场 的 浪潮 起 伏 中 顺应 时 势 。 


未 来 何 往 ? 去 中 心 化 的 好 处 之 一 ， 束 在 于 它 古 一 个 极 佳 的 实验 和 
学 习 的 平台。 任何 人 都 可 以 下 载 安装 和 分 析 比 特 币 的 区 块 链 ， 或 者 在 
此 之 上 建立 目 己 的 应 用 。 我 们 希望 你 也 能 充分 利用 这 些 机 会 。 


我 们 制作 了 许多 教材 的 网 络 辅助 材料 。Coursera 网 上 课程 [i 
(www. coursera.org/course/bitcointech) 包含 了 根据 本 书 录 制 的 视频 课 
程 ， 还 有 测验 和 一 里 编码 作业 (在 线 资料 链接 为 


http://press.princeton.edu/titles/10908.html) 。 参 加 这 个 网 络 课程 还 可 以 
让 你 和 志同道合 的 学 习 者 一 起 在 线 讨论 。 


[1] 免费 大 型 公开 在 线 课程 项 目 ， 由 美国 斯 坦 福 大 学 两 名 计算 机 科学 教授 (Andrew Ng 和 
Daphne Koller) 创办 。 旨 在 同 世界 顶尖 大 学 合作 ， 在 线 提供 免费 的 网 络 公 开课 程 。Coursera 的 


首 批 合 作 院 校 包 括 斯 坦 福 大 学 、 密 区 根 大 学 、 普 林 斯 顿 大 学 、 宾 夕 法 尼 亚 大 学 等 美国 名 校 。 
一 一 详 者 注 


rr 


术语 表 
Advanced Encryption Standard 高 级 加 密 标准 (简称 AES) 
altcoin infanticide 另类 币 天 折 
Altcoin 另类 币 
anonymityset 匿名 集 
anonymous marketplace 匿名 市 场 
Anti-Money Laundering 反 洗 钱 (简称 AML) 
append-only ledger 仅 增 账目 
Application Programming Interface 应 用 程序 编程 接口 (简称 AP1) 


Application Specific Integrated Circuits 专用 集成 电路 技术 (简称 
ASIC) 


Arithmetic Logic Units 算术 逻辑 单元 (简称 ALU) 
ASIC-resistant puzzles 反 ASIC 解 谜 算法 
asymmetric information 信息 不 对 称 

atomic cross-chain swaps 原子 型 交叉 链 互 换 


Basecoin 基础 币 


bent corner theory 折 角 论 


Berkeley Open Infrastructure for Network Computing 伯克利 开放 式 
网 络 计算 平台 (简称 BOINC) 


birthday paradox 生日 悖 论 

bit fiddling 数位 操作 

bitcoin core 比特 币 核心 钱包 

Bitcoin Foundation 比特 币 基金 会 

Bitcoin Improvement Proposal 比特 币 改进 方案 (简称 BIP) 
bitcoin mining 比特 币 控 矿 

bitcoindlibrary 比特 币 官方 客户 端的 资源 库 


bitcoin-qt library 比特 币 类 库 ， 现 在 又 称 为 比特 币 中 心 (bitcoin 


core) 
bitlicense 比特 币 牌 照 
block chain 区 块 链 
blockchain.info 区 块 链 信 息 公 司 
block-discarding attack 区 块 丢弃 攻击 
bootstrapping 目 举 过 程 


brain wallet 大 脑 钱包 


bytecode 字 闻 人 码 

Byzantine Generals Problem 拜占庭 将 军 问题 
change address 零钱 地 址 

chunk size 块 大 小 

clustering of addresses 地 址 艇 
CoiledCoin 盘旋 币 

coin center 货币 中 心 

Coinbase 比特 币 基 地 公司 
CoinJoin 合 币 

coinstake transaction 币 拥 有 量 交 易 
collision-resistance 合 撞 阳 力 
collusion 串 谍 

Colored Coins 染色 币 

Commit Coin 承诺 币 

commitment 承诺 

compatibility 兼容 性 

compression function 压缩 函数 


concensus chain 共识 链 


consensusalgorithm 共识 算法 
considating funds 资金 合并 
Counterparty 合约 币 

CreateCoins 造 币 
cryptocurrencyecosystem 加 密 货 币 生 态 系统 
crypto-currency 加 密 数 字 货 币 
cryptographic beacons 密码 学 “信号 塔 ” 
cryptographic guarantees 加 密 学 保证 
Cunningham chain 坎 宁 安 链 
cypherpunk 密码 朋 元 

Dark Coin 黑暗 币 

data furnace 数据 火炉 

deanonymized 骏 露 

decentralized mixing 分 布 式 混 币 
default strategy 默认 策略 

digital cash 数字 货币 

digital signatures 数字 签名 


distributed consensus 分 布 式 共识 


distribution with high min-entropy 最 小 信息 依 分 布 特性 

Dogecoin 狗 币 

double spending 双重 支付 

ECDSA 椭圆 曲线 数字 签名 算法 

efficient micro-payments 高 效 小 额 文 付 

encoding keys 编码 解码 

escrow transaction 第 三 方 文 付 歼 易 
Ethereum-specificVirtualMachine 以 太 坊 专用 虚拟 机 (简称 EVM) 
Ethereum 以 太 坊 


feather forking 羽 量 级 分 又 


Field-Programmable Gate Array 现场 可 编程 门 阵 列 (简称 FPGA) 
Fischer-Lynch-Paterson impossibility result 不 可 能 性 结论 
flooding algorithm 沁 洪 算法 

flooping protocol 泛 洪 协议 

forking attack 分 又 攻击 

frontrunning 预先 交易 


fully validating nodes 完全 有 效 和 点 


fungibility 可 互 换 性 


Futurecoin 未 来 币 

GenCoin 生成 货币 

genesis block 创 世 区 块 

getblocktemplate 获取 有 效 区 块 模版 (简称 GBT) 


GoofyCoin 高 飞 币 


Great Internet Mersenne Prime Search 互联 网 梅森 质数 大 搜索 ( 简 
称 GIMPS ) 


green addresses 绿色 地 址 

Hash 哈 希 算法 

hash collision 哈 希 亿 挤 

hash pointer 哈 希 指针 

hash power 哈 希 算 力 

hash puzzles 哈 硕 解 谜 

hash rate 哈 硕 速度 / 哈 硕 率 
hashes of public keys 公 钥 哈 希 值 
hiding 隐秘 性 


hierarchical deterministic wallet 分 层 确 定性 钱包 


high min-entroy 高 阶 最 小 炉 


high-level flows 高 风险 交易 流 

idioms of use 惯用 法 则 

implicit consensus 隐 性 共识 

instawallet 一 种 在 线 钱包 

joint payments 共 同文 付 

key stretching 密 钥 延展 

key-value 键 值 

Know Your Customer 了 解 你 的 客户 〈 人 简称 KYC) 
Large Hadron Collider 大 型 强 子 伴 撞 (人 简称 LHC) 
laundering hashes 洗 算 力 

laundry 洗钱 

lemons market 村 檬 市 场 /次 品 市 场 

lightweight nodes 轻 量 节点 

Linear Feedback Shift Registers 线性 反馈 移 位 寄存 絮 ( 人 简称 LFSR) 
linking 关联 性 

Litecoin 莱特 币 

lock_time 锁定 时 间 


locking mechanisms 加 锁 机 制 


mandatory reporting 强制 上 报 


megajoules 兆 焦 耳 ， 百 万 焦耳 
megawatt 兆 瓦 ， 百 万 瓦特 


memory-bound puzzles 内 存 限制 解 谜 


memory-hard mining puzzle 记忆 储存 体 挖 矿 谜 题 
memory-hard puzzles 刚性 内 存 解 谜 
memoryless process 无 记忆 进程 的 
merge avoidance 合并 规避 
mergemining 共同 控 矿 

Merkle trees 梅 克 尔 树 
Merkle-Damgard transform MD 变换 
mining shares 控 矿 工分 

Mix net 混 币 网 络 

Mixing 混 币 

modular addition 模 加 法 运算 
multisignatures 多 重 签名 

Namecoin 域名 币 


niche currency 利 基 货币 


nonce 临时 随机 数 


opcode 操作 码 


Open Computing Language 开放 运算 语言 (简称 OpenCL ) 
open protocol 开放 协议 

OpenAseet 开放 资产 

open-source project 开源 项 目 

open-source software 开源 软件 

open-source System 开源 系统 

orphan block 孤 块 

overlay currencies 附着 币 

parent node 父 世 点 

partial hash-preimage puzzle 不 完全 哈 希 函数 原 像 解 谜 
partial preimage 不 完全 原 像 

PayCoins 付 币 

paying for a proof 支付 证 明 费 用 


pay-to-pubkey-hash 标准 的 比特 币 转账 流程 / 文 付 到 比特 币 地 址 的 标 
准 交 易 


Pay-to-script-hash 文 付 给 脚本 的 哈 希 值 (简称 P2SH) 


Peercoin 点 点 币 

Permacoin 永久 币 

Petabytes 拍 字 市 (人 简称 PB) 
Pigeonhole Principle 鸽 梨 原理 

pool hopping 矿 池 跳 换 

Primecoin 质数 币 

private key 私 铀 

progress free 无 天 过 程 的 

proof of burn 销毁 证 明 

proof of Liabilities 负债 证 明 

Proof of membership 隶属 证 明 

Proof of non-membership 非 隶 属 证 明 
proof of Reserve 准备 金 证 明 

proof of retrievabitlity 可 恢复 性 证 明 
proof of storage 存储 量 证 明 

proof of*clairvoyance” 未 来 预测 证 明 
proof-of-stake 权益 证 明 


proof-of-workskiplist 工作 证 明 跳 表 


proof-of-work 工作 量 证 明 

protein folding 蛋白 质 折 苇 

provision 准备 金 

pseudocode 伪 代 码 

pseudonymity 化 名 

Pseudo-Random Generator 伪 随 机 数 发 生 器 简称 PRG) 
publickey 公 钥 

pull requests 提交 请 求 

Pump-and-dumpscams 拉 高 出 货 驴 术 


punitive forking 惩 昼 分 叉 


puzzle-friendliness 谜 题 友好 

Quick Response code QR 码 

race condition 荡 仿 条 件 

radio telescope 射电 望远镜 

Random Acess Memory 随机 存 取 存储 器 (简称 RAM) 
randomness beacons 随机 数 “ 信 号 塔 ” 

real scripts 实际 脚本 


reality keys 现实 密 钥 


replace-by-fee 蔡 代 策略 

reputation system 信誉 评价 系统 

Request for Comments 评议 请 求 (简称 RFC) 

root 树 根 节点 

Satoshi bones 中 本 聪 骨头 

Satoshi Dice 中 本 陪 之 骨 

Satoshi Nakamoto 中 本 陪 

save up 蓄 力 

scriptPubKey 输出 脚本 

scriptSig 输入 脚本 

ScroogeCoin 财 奴 币 

Secure Hash Algorithm 256 安全 哈 希 算法 (简称 SHA-256) 
secure timestamping 安全 时 间 戳 

selfish mining 自私 控 矿 

sidechains 侧 链 

sidechannels 和 劳 路 攻击 

Simple Mail Transfer Protocol 简单 邮件 传输 协议 〈 简 称 SMTP) 


Simple Payment Verification 简单 付款 验证 (简称 SPV) 


smart contracts 智能 合约 

spare cycle 空 箱 周期 

stack-based programming language 堆栈 式 编程 语言 
stake-grinding attacks 股权 粉碎 攻击 

stratum 层 

sybil attack 女巫 攻击 

taintanalysis 污点 分 析 


tamper-resistant device 防 损人 硬件 


temporary block-withholding attacks 临时 保留 区 块 攻击 


the 51 percent attack 51% 攻击 

the head of list 链表 头 部 

the nothing-at-stake problem 无 利害 关系 问题 
threshold cryptography 门限 密码 

threshold signature 门限 签名 

Tinkerbell effect 仙子 效应 

transaction syntax 交易 语法 

transaction graph analysis 交易 图 谱 分 析 


tumbler 翻 尝 


uniform transactions 一 致 性 交易 
uniqueCoinID 唯一 的 货币 编号 
unlinkability 无 关联 性 

vanity addresses 虚 采 地 址 

virtual currency 虚拟 货币 

virtual mining 虚拟 控 矿 

zero confirmation transaction 零 验 证 交易 
Zerocash 零 钞 

Zerocoin 零 币 

zero-knowledge proof 零 知识 验证 


Zetacoin 泽 塔 币 


译 首 何 介 


帅 初 ， 毕 业 于 中 国 科学 院 ， 从 2013 年 起 ， 就 从 事 加 密 货 币 和 区 块 
链 技 术 领 域 的 开发 和 研究 工作 ， 具 备 丰 富 的 区 块 链 行业 经 验 。 现 担任 
唯 链 科技 (vechain) 首席 技术 官 ， 也 是 中 国 区 块 链 开源 平台 
QtumChain 的 设计 者 。 


蔡 凯 龙 ， 点 石 资产 管理 创始 人 ， 厦 门 抬 钱 论 道 资 产 管理 公司 执 
委 会 主席 ， 互 联网 金融 千 人 会 联合 创始 人 ， 百 度 文 付 海外 顾问 ， 恒 生 
电子 海外 投资 高 级 顾问 。 注 册 金 融 分 析 师 (CFA) ,金融 风险 管理 师 
(FRM) ,经 济 和 计算 机 双 硕 士 ， 金 融 博 士 生 。 曾 任 联想 控股 旗下 P2P 
辟 龙 贷 副 总 裁 ， 互 联网 金融 千 人 会 执行 秘书 长 ， 德 意志 银行 (美国) 
战略 科技 部 副 总 裁 ， 美 国 能 源 公 司 MXEnergy 风 挖 经 理 ， 美 国 休斯顿 大 
学 商学 院 金融 系 助理 教授 。《 人 金融 时 报 》 《中 文 版 ) 、 《新 浪 财经 》 
等 财经 媒体 的 专栏 作者 ， 曾 发 表 多 篇 天 于 互联 网 金融 的 文章 。 编 辑 出 
版 《智慧 众 筹 : 互联 网 金融 早餐 会 》 一 书 。 


许 余 清 ， 现 任 联合 信用 评级 有 限 公 司 研究 总 监 ， 中 国资 产 证 券 
化 研究 院 首席 研究 员 ， 西 南 财 经 大 学 特聘 研究 员 。2013 年 7 月 起 供职 于 
中 国 证 监 会 研究 中 心 (2015 年 更 名 为 中 证 金融 研究 院 ) ， 嗓 证 监 会 博 
土 后 科研 工作 站 与 清华 大 学 五 道口 金融 学 院 联合 培养 博士 后 。2014 年 
从 事 明 斯 基 《 稳 定 不 稳定 的 经 济 》 一 书 中 文 版 的 翻译 校 稿 工作 。 近 年 
来 ， 在 《人 民 日 报 》、《 金 融 法 苑 》、《 中 国 金 融 》、《 工 业 技 术 经 
济 》、《 中 国 经 济 报告 》、《 中 国 证 券 报 》 等 报刊 杂志 上 发 表 文章 30 
余 篇 ， 并 以 笔名 “ 余 吉 力 ” 在 财 新 博客 上 坚持 撰写 100 篇 读书 心得 ， 广 为 
转载 。 


李 泪 光 ， 中 国人 民 大 学 财政 金融 学 院 经 济 学 硕士 ， 特 许 金融 分 
析 师 (CFA) ， 中 国 注 册 会 计 师 (CPA) 。 现 就 职 于 某 合资 证 券 公 
司 ， 担 任 结构 融资 总 监 ， 负 贡 境 内 资产 证 券 化 、REITs 及 结构 化 金融 产 
品 的 设计 与 发 行 ， 并 参与 跨 境 证 券 化 产品 与 REITs 的 研究 或 顾问 工作 ， 
成 功 完成 或 执行 的 资产 类 型 覆盖 商业 及 工业 地 产 、 应 收 账 款 、 银 行 信 
贫 、 消 费 金融 、 租 价 资 产 、 公 共事 业 收 费 权 等 。 在 此 之 前 ， 曾 就 职 于 
某 行业 领先 的 内 资 证 券 公司 资产 管理 部 、 四 大 国有 银行 总 行 ， 长 期 从 
事理 财 与 货 金 池 投资 管理 、 结 构 化 投 融 痪 相关 工作 ， 并 担任 中 国资 产 
证 券 化 研究 院 研 究 员 ， 中 国资 产 证 券 化 论坛 理事 及 教育 委员 会 委员 。 


高 晓 婧 ， 毕 业 于 北京 外 国语 大 学 英汉 同 声 传 译 专业 ; 曾 就 职 于 
华夏 银行 总 行 理财 业务 管理 部 门 ， 现 就 职 于 兴业 银行 总 行 投 资 银行 
部 ;， 具 有 多 年 泛 资 管 领域 从 业经 验 ， 目 前 主要 研究 领域 包括 : 银行 理 
财 、 泛 资 管 及 资产 证 券 化 业务 。 


洪 浩 ，CFA， 现 任职 于 中 泰 证 券 债券 与 结构 金融 部 ， 负 
产 证 券 化 和 企业 资产 证 券 化 业务 。 曾 任职 于 中 国 对 外 经 济 贸 
限 公司 ， 在 信托 公司 建立 了 全 流程 的 服务 体系 。 人 负责 或 参与 
莫 、 私 募 换 产 证 券 化 项 目 。 北 京 大 学 理学 博士 ， 中 国货 产 证 
院 特聘 研究 员 。 
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